De netwerkcontroller beveiligen
Van toepassing op: Azure Local 2311.2 en hoger; Windows Server 2022, Windows Server 2019, Windows Server 2016
In dit artikel wordt beschreven hoe u beveiliging configureert voor alle communicatie tussen netwerkcontroller en andere software en apparaten.
De communicatiepaden die u kunt beveiligen, zijn onder andere noord-uitgaande communicatie op het beheervlak, clustercommunicatie tussen virtuele machines van de netwerkcontroller (VM's) in een cluster en zuidkomende communicatie op het gegevensvlak.
Northbound Communication. Netwerkcontroller communiceert op het beheervlak met SDN-compatibele beheersoftware, zoals Windows PowerShell en System Center Virtual Machine Manager (SCVMM). Deze beheerhulpprogramma's bieden u de mogelijkheid om netwerkbeleid te definiëren en een doelstatus voor het netwerk te maken, waarmee u de werkelijke netwerkconfiguratie kunt vergelijken om de werkelijke configuratie in pariteit te brengen met de doelstatus.
Netwerkcontrollerclustercommunicatie. Wanneer u drie of meer VM's configureert als netwerkcontrollerclusterknooppunten, communiceren deze knooppunten met elkaar. Deze communicatie kan betrekking hebben op het synchroniseren en repliceeren van gegevens tussen knooppunten of specifieke communicatie tussen netwerkcontrollerservices.
Southbound Communication. Netwerkcontroller communiceert op het gegevensvlak met SDN-infrastructuur en andere apparaten, zoals software load balancers, gateways en hostmachines. U kunt de netwerkcontroller gebruiken om deze zuidkomende apparaten te configureren en te beheren, zodat ze de doelstatus behouden die u voor het netwerk hebt geconfigureerd.
Noord-uitgaande communicatie
Netwerkcontroller ondersteunt verificatie, autorisatie en versleuteling voor northbound communicatie. De volgende secties bevatten informatie over het configureren van deze beveiligingsinstellingen.
Verificatie
Wanneer u verificatie configureert voor netwerkcontroller northbound communicatie, kunt u netwerkcontrollerclusterknooppunten en beheerclients toestaan om de identiteit te verifiëren van het apparaat waarmee ze communiceren.
Netwerkcontroller ondersteunt de volgende drie verificatiemodi tussen beheerclients en netwerkcontrollerknooppunten.
Notitie
Als u netwerkcontroller implementeert met System Center Virtual Machine Manager, wordt alleen de Kerberos-modus ondersteund.
Kerberos. Gebruik Kerberos-verificatie bij het koppelen van de beheerclient en alle clusterknooppunten van de netwerkcontroller aan een Active Directory-domein. Voor het Active Directory-domein moeten domeinaccounts worden gebruikt voor verificatie.
X509. Gebruik X509 voor verificatie op basis van certificaten voor beheerclients die niet zijn gekoppeld aan een Active Directory-domein. U moet certificaten inschrijven voor alle netwerkcontrollerclusterknooppunten en beheerclients. Bovendien moeten alle knooppunten en beheerclients elkaars certificaten vertrouwen.
Geen. Gebruik Geen voor testdoeleinden in een testomgeving en daarom niet aanbevolen voor gebruik in een productieomgeving. Wanneer u deze modus kiest, is er geen verificatie uitgevoerd tussen knooppunten en beheerclients.
U kunt de verificatiemodus voor northbound communicatie configureren met behulp van de Windows PowerShell-opdracht Install-NetworkController met de parameter ClientAuthentication.
Autorisatie
Wanneer u autorisatie configureert voor netwerkcontroller-noord-uitgaande communicatie, staat u netwerkcontrollerclusterknooppunten en beheerclients toe om te controleren of het apparaat waarmee ze communiceren vertrouwd is en gemachtigd is om deel te nemen aan de communicatie.
Gebruik de volgende autorisatiemethoden voor elk van de verificatiemodi die door de netwerkcontroller worden ondersteund.
Kerberos. Wanneer u de Kerberos-verificatiemethode gebruikt, definieert u de gebruikers en computers die gemachtigd zijn om te communiceren met de netwerkcontroller door een beveiligingsgroep in Active Directory te maken en vervolgens de geautoriseerde gebruikers en computers toe te voegen aan de groep. U kunt de netwerkcontroller configureren voor het gebruik van de beveiligingsgroep voor autorisatie met behulp van de parameter ClientSecurityGroup van de opdracht Install-NetworkController Windows PowerShell. Nadat u de netwerkcontroller hebt geïnstalleerd, kunt u de beveiligingsgroep wijzigen met behulp van de opdracht Set-NetworkController met de parameter -ClientSecurityGroup. Als u SCVMM gebruikt, moet u de beveiligingsgroep opgeven als parameter tijdens de implementatie.
X509. Wanneer u de X509-verificatiemethode gebruikt, accepteert de netwerkcontroller alleen aanvragen van beheerclients waarvan de vingerafdruk van het certificaat bekend is bij de netwerkcontroller. U kunt deze vingerafdrukken configureren met behulp van de parameter ClientCertificateThumbprint van de opdracht Install-NetworkController Windows PowerShell. U kunt op elk gewenst moment andere clientvingerafdrukken toevoegen met behulp van de opdracht Set-NetworkController.
Geen. Wanneer u deze modus kiest, is er geen verificatie uitgevoerd tussen knooppunten en beheerclients. Gebruik Geen voor testdoeleinden in een testomgeving en daarom niet aanbevolen voor gebruik in een productieomgeving.
Versleuteling
Northbound communication maakt gebruik van Secure Sockets Layer (SSL) om een versleuteld kanaal te maken tussen beheerclients en netwerkcontrollerknooppunten. SSL-versleuteling voor noordkomende communicatie omvat de volgende vereisten:
Alle netwerkcontrollerknooppunten moeten een identiek certificaat hebben dat de serververificatie- en clientverificatiedoeleinden bevat in EKU-extensies (Enhanced Key Usage).
De URI die door beheerclients wordt gebruikt om te communiceren met de netwerkcontroller, moet de onderwerpnaam van het certificaat zijn. De onderwerpnaam van het certificaat moet de FQDN (Fully Qualified Domain Name) of het IP-adres van het REST-eindpunt van de netwerkcontroller bevatten.
Als netwerkcontrollerknooppunten zich in verschillende subnetten bevinden, moet de onderwerpnaam van hun certificaten hetzelfde zijn als de waarde die wordt gebruikt voor de parameter RestName in de opdracht Install-NetworkController Windows PowerShell.
Alle beheerclients moeten het SSL-certificaat vertrouwen.
SSL-certificaatinschrijving en -configuratie
U moet het SSL-certificaat handmatig inschrijven op netwerkcontrollerknooppunten.
Nadat het certificaat is ingeschreven, kunt u de netwerkcontroller configureren voor het gebruik van het certificaat met de parameter -ServerCertificate van de opdracht Install-NetworkController Windows PowerShell. Als u de netwerkcontroller al hebt geïnstalleerd, kunt u de configuratie op elk gewenst moment bijwerken met behulp van de opdracht Set-NetworkController .
Notitie
Als u SCVMM gebruikt, moet u het certificaat toevoegen als bibliotheekresource. Zie Een SDN-netwerkcontroller instellen in de VMM-infrastructuur voor meer informatie.
Netwerkcontrollerclustercommunicatie
Netwerkcontroller ondersteunt verificatie, autorisatie en versleuteling voor communicatie tussen netwerkcontrollerknooppunten. De communicatie verloopt via WCF (Windows Communication Foundation ) en TCP.
U kunt deze modus configureren met de parameter ClusterAuthentication van de opdracht Install-NetworkControllerCluster Windows PowerShell.
Zie Install-NetworkControllerCluster voor meer informatie.
Verificatie
Wanneer u verificatie configureert voor netwerkcontrollerclustercommunicatie, staat u netwerkcontrollerclusterknooppunten toe om de identiteit te verifiëren van de andere knooppunten waarmee ze communiceren.
Netwerkcontroller ondersteunt de volgende drie verificatiemodi tussen netwerkcontrollerknooppunten.
Notitie
Als u netwerkcontroller implementeert met behulp van SCVMM, wordt alleen de Kerberos-modus ondersteund.
Kerberos. U kunt Kerberos-verificatie gebruiken wanneer alle clusterknooppunten van de netwerkcontroller zijn gekoppeld aan een Active Directory-domein, met domeinaccounts die worden gebruikt voor verificatie.
X509. X509 is verificatie op basis van certificaten. U kunt X509-verificatie gebruiken wanneer netwerkcontrollerclusterknooppunten niet zijn gekoppeld aan een Active Directory-domein. Als u X509 wilt gebruiken, moet u certificaten inschrijven voor alle clusterknooppunten van de netwerkcontroller en moeten alle knooppunten de certificaten vertrouwen. Daarnaast moet de onderwerpnaam van het certificaat dat op elk knooppunt is ingeschreven, hetzelfde zijn als de DNS-naam van het knooppunt.
Geen. Wanneer u deze modus kiest, is er geen verificatie uitgevoerd tussen netwerkcontrollerknooppunten. Deze modus is alleen beschikbaar voor testdoeleinden en wordt niet aanbevolen voor gebruik in een productieomgeving.
Autorisatie
Wanneer u autorisatie configureert voor netwerkcontrollerclustercommunicatie, staat u netwerkcontrollerclusterknooppunten toe om te controleren of de knooppunten waarmee ze communiceren vertrouwd zijn en gemachtigd zijn om deel te nemen aan de communicatie.
Voor elk van de verificatiemodi die door de netwerkcontroller worden ondersteund, worden de volgende autorisatiemethoden gebruikt.
Kerberos. Netwerkcontrollerknooppunten accepteren alleen communicatieaanvragen van andere netwerkcontrollercomputeraccounts. U kunt deze accounts configureren wanneer u netwerkcontroller implementeert met behulp van de naamparameter van de opdracht New-NetworkControllerNodeObject Windows PowerShell.
X509. Netwerkcontrollerknooppunten accepteren alleen communicatieaanvragen van andere netwerkcontrollercomputeraccounts. U kunt deze accounts configureren wanneer u netwerkcontroller implementeert met behulp van de naamparameter van de opdracht New-NetworkControllerNodeObject Windows PowerShell.
Geen. Wanneer u deze modus kiest, is er geen autorisatie uitgevoerd tussen netwerkcontrollerknooppunten. Deze modus is alleen beschikbaar voor testdoeleinden en wordt niet aanbevolen voor gebruik in een productieomgeving.
Versleuteling
Communicatie tussen netwerkcontrollerknooppunten wordt versleuteld met behulp van WCF Transport Level Encryption. Deze vorm van versleuteling wordt gebruikt wanneer de verificatie- en autorisatiemethoden Kerberos- of X509-certificaten zijn. Zie de volgende onderwerpen voor meer informatie.
- Procedure: Een service beveiligen met Windows-referenties
- Procedure: Een service beveiligen met X.509-certificaten.
Zuidkomende communicatie
Netwerkcontroller communiceert met verschillende typen apparaten voor zuidkomende communicatie. Deze interacties maken gebruik van verschillende protocollen. Daarom zijn er verschillende vereisten voor verificatie, autorisatie en versleuteling, afhankelijk van het type apparaat en protocol dat door de netwerkcontroller wordt gebruikt om met het apparaat te communiceren.
De volgende tabel bevat informatie over de interactie van de netwerkcontroller met verschillende zuidkomende apparaten.
| Zuidkomende apparaat/service | Protocol | Gebruikte verificatie |
|---|---|---|
| Softwaretaakverdeling | WCF (MUX), TCP (host) | Certificaten |
| Firewall | OVSDB | Certificaten |
| Gateway | WinRM | Kerberos, certificaten |
| Virtuele netwerken | OVSDB, WCF | Certificaten |
| Door de gebruiker gedefinieerde routering | OVSDB | Certificaten |
Voor elk van deze protocollen wordt het communicatiemechanisme beschreven in de volgende sectie.
Verificatie
Voor zuidkomende communicatie worden de volgende protocollen en verificatiemethoden gebruikt.
WCF/TCP/OVSDB. Voor deze protocollen wordt verificatie uitgevoerd met behulp van X509-certificaten. Zowel netwerkcontroller als de peer SLB Multiplexer (SLB) Multiplexer (MUX)/hostmachines presenteren hun certificaten aan elkaar voor wederzijdse verificatie. Elk certificaat moet worden vertrouwd door de externe peer.
Voor zuidkomende verificatie kunt u hetzelfde SSL-certificaat gebruiken dat is geconfigureerd voor het versleutelen van de communicatie met de noordkomende clients. U moet ook een certificaat configureren op de SLB MUX- en hostapparaten. De onderwerpnaam van het certificaat moet gelijk zijn aan de DNS-naam van het apparaat.
WinRM. Voor dit protocol wordt verificatie uitgevoerd met behulp van Kerberos (voor computers die lid zijn van een domein) en met behulp van certificaten (voor computers die geen lid zijn van een domein).
Autorisatie
Voor zuidkomende communicatie worden de volgende protocollen en autorisatiemethoden gebruikt.
WCF/TCP. Voor deze protocollen is autorisatie gebaseerd op de onderwerpnaam van de peerentiteit. Netwerkcontroller slaat de DNS-naam van het peerapparaat op en gebruikt deze voor autorisatie. Deze DNS-naam moet overeenkomen met de onderwerpnaam van het apparaat in het certificaat. Op dezelfde manier moet het certificaat van de netwerkcontroller overeenkomen met de DNS-naam van de netwerkcontroller die is opgeslagen op het peerapparaat.
WinRM. Als Kerberos wordt gebruikt, moet het WinRM-clientaccount aanwezig zijn in een vooraf gedefinieerde groep in Active Directory of in de groep Lokale beheerders op de server. Als certificaten worden gebruikt, geeft de client een certificaat weer aan de server die de server autoriseert met behulp van de onderwerpnaam/verlener en gebruikt de server een toegewezen gebruikersaccount om verificatie uit te voeren.
OVSDB. Autorisatie is gebaseerd op de onderwerpnaam van de peerentiteit. Netwerkcontroller slaat de DNS-naam van het peerapparaat op en gebruikt deze voor autorisatie. Deze DNS-naam moet overeenkomen met de onderwerpnaam van het apparaat in het certificaat.
Versleuteling
Voor southbound communicatie worden de volgende versleutelingsmethoden gebruikt voor protocollen.
WCF/TCP/OVSDB. Voor deze protocollen wordt versleuteling uitgevoerd met behulp van het certificaat dat is ingeschreven op de client of server.
WinRM. WinRM-verkeer wordt standaard versleuteld met behulp van de Kerberos-beveiligingsondersteuningsprovider (SSP). U kunt aanvullende versleuteling configureren in de vorm van SSL op de WinRM-server.