Безопасность сетевого контроллера
Применимо к: Локальные версии Azure, версии 23H2 и 22H2; Windows Server 2022, Windows Server 2019, Windows Server 2016
В этой статье описывается, как настроить безопасность для всех подключений между сетевым контроллером и другими программными средствами и устройствами.
Пути связи, которые можно защитить, включают в себя связь northbound на плоскости управления, связь между виртуальными машинами контроллера сети (виртуальными машинами) в кластере и связью с южным трафиком на плоскости данных.
Northbound Communication. Сетевой контроллер взаимодействует на плоскости управления с программным обеспечением с поддержкой SDN, таким как Windows PowerShell и System Center диспетчер виртуальных машин (SCVMM). Эти средства управления предоставляют возможность определять сетевую политику и создавать целевое состояние сети, с которым можно сравнить фактическую конфигурацию сети, чтобы обеспечить четность фактической конфигурации с состоянием цели.
Связь с кластером сетевого контроллера. При настройке трех или нескольких виртуальных машин в качестве узлов кластера сетевого контроллера эти узлы взаимодействуют друг с другом. Это взаимодействие может быть связано с синхронизацией и репликацией данных между узлами или конкретным взаимодействием между службами сетевого контроллера.
Связь с южным трафиком. Сетевой контроллер взаимодействует на плоскости данных с инфраструктурой SDN и другими устройствами, такими как программные подсистемы балансировки нагрузки, шлюзы и хост-компьютеры. С помощью сетевого контроллера можно настроить и управлять этими устройствами на юге, чтобы они поддерживали состояние цели, настроенное для сети.
Связь с севером
Сетевой контроллер поддерживает проверку подлинности, авторизацию и шифрование для связи northbound. В следующих разделах содержатся сведения о настройке этих параметров безопасности.
Проверка подлинности
При настройке проверки подлинности для связи "Северный контроллер сети" можно разрешить узлам кластера сетевого контроллера и клиентам управления проверить удостоверение устройства, с которым они взаимодействуют.
Сетевой контроллер поддерживает следующие три режима проверки подлинности между клиентами управления и узлами сетевого контроллера.
Примечание.
Если вы развертываете сетевой контроллер с помощью System Center диспетчер виртуальных машин, поддерживается только режим Kerberos.
Kerberos. Используйте проверку подлинности Kerberos при присоединении клиента управления и всех узлов кластера сетевого контроллера к домену Active Directory. Домен Active Directory должен иметь учетные записи домена, используемые для проверки подлинности.
X509. Используйте X509 для проверки подлинности на основе сертификатов для клиентов управления, не присоединенных к домену Active Directory. Сертификаты необходимо зарегистрировать во всех узлах кластера сетевого контроллера и клиентах управления. Кроме того, все узлы и клиенты управления должны доверять сертификатам друг друга.
Нет. Используйте None для целей тестирования в тестовой среде и, следовательно, не рекомендуется использовать в рабочей среде. При выборе этого режима проверка подлинности между узлами и клиентами управления не выполняется.
Вы можете настроить режим проверки подлинности для связи northbound с помощью команды Windows PowerShell Install-NetworkController с параметром ClientAuthentication .
Авторизация
При настройке авторизации для связи "Северный контроллер сети" можно разрешить узлам кластера сетевого контроллера и клиентам управления убедиться, что устройство, с которым они взаимодействуют, является доверенным и имеет разрешение на участие в обмене данными.
Используйте следующие методы авторизации для каждого из режимов проверки подлинности, поддерживаемых сетевым контроллером.
Kerberos. При использовании метода проверки подлинности Kerberos пользователи и компьютеры, авторизованные для взаимодействия с сетевым контроллером, создав группу безопасности в Active Directory, а затем добавьте авторизованных пользователей и компьютеров в группу. Сетевой контроллер можно настроить для авторизации с помощью параметра ClientSecurityGroup команды Install-NetworkController Windows PowerShell. После установки сетевого контроллера можно изменить группу безопасности с помощью команды Set-NetworkController с параметром -ClientSecurityGroup. При использовании SCVMM необходимо указать группу безопасности в качестве параметра во время развертывания.
X509. При использовании метода проверки подлинности X509 сетевой контроллер принимает только запросы от клиентов управления, отпечатки сертификатов которых известны сетевому контроллеру. Эти отпечатки можно настроить с помощью параметра ClientCertificateThumbprint команды Install-NetworkController Windows PowerShell. Вы можете добавлять другие отпечатки клиента в любое время с помощью команды Set-NetworkController.
Нет. При выборе этого режима проверка подлинности между узлами и клиентами управления не выполняется. Используйте None для целей тестирования в тестовой среде и, следовательно, не рекомендуется использовать в рабочей среде.
Шифрование
Для создания зашифрованного канала между клиентами управления и узлами сетевого контроллера используется протокол SSL. Ssl-шифрование для связи northbound включает следующие требования:
Все узлы сетевого контроллера должны иметь идентичный сертификат, включающий в себя цели проверки подлинности сервера и проверки подлинности клиента в расширениях расширенного использования ключей (EKU).
Универсальный код ресурса (URI), используемый клиентами управления для взаимодействия с сетевым контроллером, должен быть именем субъекта сертификата. Имя субъекта сертификата должно содержать полное доменное имя (FQDN) или IP-адрес конечной точки REST контроллера сети.
Если узлы сетевого контроллера находятся в разных подсетях, имя субъекта сертификатов должно совпадать со значением, используемым для параметра RestName в команде Install-NetworkController Windows PowerShell.
Все клиенты управления должны доверять SSL-сертификату.
Регистрация и настройка SSL-сертификата
Необходимо вручную зарегистрировать SSL-сертификат на узлах сетевого контроллера.
После регистрации сертификата можно настроить сетевой контроллер для использования сертификата с параметром -ServerCertificate команды Install-NetworkController Windows PowerShell. Если вы уже установили сетевой контроллер, вы можете обновить конфигурацию в любое время с помощью команды Set-NetworkController .
Примечание.
Если вы используете SCVMM, необходимо добавить сертификат в качестве ресурса библиотеки. Дополнительные сведения см. в разделе "Настройка сетевого контроллера SDN" в структуре VMM.
Связь кластера сетевого контроллера
Сетевой контроллер поддерживает проверку подлинности, авторизацию и шифрование для обмена данными между узлами сетевого контроллера. Связь выполняется через Windows Communication Foundation (WCF) и TCP.
Этот режим можно настроить с помощью параметра ClusterAuthentication команды Install-NetworkControllerCluster Windows PowerShell.
Дополнительные сведения см. в разделе Install-NetworkControllerCluster.
Проверка подлинности
При настройке проверки подлинности для связи с кластером сетевого контроллера можно разрешить узлам кластера сетевого контроллера проверить удостоверение других узлов, с которыми они взаимодействуют.
Сетевой контроллер поддерживает следующие три режима проверки подлинности между узлами сетевого контроллера.
Примечание.
При развертывании сетевого контроллера с помощью SCVMM поддерживается только режим Kerberos .
Kerberos. Проверку подлинности Kerberos можно использовать при присоединении всех узлов кластера сетевого контроллера к домену Active Directory с учетными записями домена, используемыми для проверки подлинности.
X509. X509 — это проверка подлинности на основе сертификатов. Проверку подлинности X509 можно использовать, если узлы кластера сетевого контроллера не присоединены к домену Active Directory. Чтобы использовать X509, необходимо зарегистрировать сертификаты на всех узлах кластера сетевого контроллера, а все узлы должны доверять сертификатам. Кроме того, имя субъекта сертификата, зарегистрированного на каждом узле, должно совпадать с DNS-именем узла.
Нет. При выборе этого режима проверка подлинности между узлами сетевого контроллера не выполняется. Этот режим предоставляется только для тестирования и не рекомендуется использовать в рабочей среде.
Авторизация
При настройке авторизации для связи с кластером сетевого контроллера можно разрешить узлам кластера сетевого контроллера убедиться, что узлы, с которыми они взаимодействуют, являются доверенными и имеют разрешение на участие в обмене данными.
Для каждого из режимов проверки подлинности, поддерживаемых сетевым контроллером, используются следующие методы авторизации.
Kerberos. Узлы сетевого контроллера принимают запросы на обмен данными только из других учетных записей компьютера сетевого контроллера. Эти учетные записи можно настроить при развертывании сетевого контроллера с помощью параметра Name команды New-NetworkControllerNodeObject Windows PowerShell.
X509. Узлы сетевого контроллера принимают запросы на обмен данными только из других учетных записей компьютера сетевого контроллера. Эти учетные записи можно настроить при развертывании сетевого контроллера с помощью параметра Name команды New-NetworkControllerNodeObject Windows PowerShell.
Нет. При выборе этого режима авторизация между узлами сетевого контроллера не выполняется. Этот режим предоставляется только для тестирования и не рекомендуется использовать в рабочей среде.
Шифрование
Обмен данными между узлами сетевого контроллера шифруется с помощью шифрования уровня транспорта WCF. Эта форма шифрования используется, когда методы проверки подлинности и авторизации являются сертификатами Kerberos или X509. Дополнительные сведения см. в следующих разделах:
- Практическое руководство. Защита службы с использованием учетных данных Windows
- Практическое руководство. Защита службы с помощью сертификатов X.509.
Связь с южным подключением
Сетевой контроллер взаимодействует с различными типами устройств для связи southbound. Эти взаимодействия используют разные протоколы. Из-за этого существуют различные требования к проверке подлинности, авторизации и шифрованию в зависимости от типа устройства и протокола, используемого сетевым контроллером для взаимодействия с устройством.
В следующей таблице приведены сведения о взаимодействии сетевого контроллера с разными устройствами на юге.
| Устройство или служба с южным трафиком | Протокол | Используемая проверка подлинности |
|---|---|---|
| Балансировщик нагрузки программного обеспечения | WCF (MUX), TCP (узел) | Сертификаты |
| Брандмауэр | OVSDB | Сертификаты |
| Шлюз | WinRM | Kerberos, сертификаты |
| Виртуальная сеть | OVSDB, WCF | Сертификаты |
| Определяемая пользователем маршрутизация | OVSDB | Сертификаты |
Для каждого из этих протоколов механизм взаимодействия описан в следующем разделе.
Проверка подлинности
Для связи с южным трафиком используются следующие протоколы и методы проверки подлинности.
WCF/TCP/OVSDB. Для этих протоколов проверка подлинности выполняется с помощью сертификатов X509. Сетевой контроллер и одноранговая подсистема балансировки нагрузки программного обеспечения (SLB) Мультиплексер (MUX)/хост-компьютеры представляют свои сертификаты друг другу для взаимной проверки подлинности. Каждый сертификат должен быть доверен удаленным одноранговым узлом.
Для проверки подлинности на юге можно использовать тот же SSL-сертификат, настроенный для шифрования связи с клиентами Northbound. Кроме того, необходимо настроить сертификат на многомерных устройствах SLB и на узлах. Имя субъекта сертификата должно совпадать с DNS-именем устройства.
WinRM. Для этого протокола проверка подлинности выполняется с помощью Kerberos (для присоединенных к домену компьютеров) и с помощью сертификатов (для компьютеров, не присоединенных к домену).
Авторизация
Для связи на юге используются следующие протоколы и методы авторизации.
WCF/TCP. Для этих протоколов авторизация основана на имени субъекта одноранговой сущности. Сетевой контроллер сохраняет DNS-имя однорангового устройства и использует его для авторизации. Это DNS-имя должно соответствовать имени субъекта устройства в сертификате. Аналогичным образом сертификат сетевого контроллера должен совпадать с DNS-именем сетевого контроллера, хранящимся на одноранговом устройстве.
WinRM. Если используется Kerberos, учетная запись клиента WinRM должна присутствовать в предопределенной группе в Active Directory или в группе локальных администраторов на сервере. Если используются сертификаты, клиент представляет сертификат серверу, которому сервер разрешает использование имени субъекта или издателя, а сервер использует сопоставленную учетную запись пользователя для выполнения проверки подлинности.
OVSDB. Авторизация основана на имени субъекта одноранговой сущности. Сетевой контроллер сохраняет DNS-имя однорангового устройства и использует его для авторизации. Это DNS-имя должно соответствовать имени субъекта устройства в сертификате.
Шифрование
Для связи на юге используются следующие методы шифрования для протоколов.
WCF/TCP/OVSDB. Для этих протоколов шифрование выполняется с помощью сертификата, зарегистрированного на клиенте или сервере.
WinRM. Трафик WinRM шифруется по умолчанию с помощью поставщика поддержки безопасности Kerberos (SSP). Вы можете настроить дополнительное шифрование в виде SSL на сервере WinRM.