Безопасность сетевого контроллера
Применимо к: Azure Local 2311.2 и более поздних версий; Windows Server 2022, Windows Server 2019, Windows Server 2016
В этой статье описывается, как настроить безопасность для всех подключений между сетевым контроллером и другими программными средствами и устройствами.
Пути связи, которые можно защитить, включают северную связь на плоскости управления, связь между виртуальными машинами контроллера сети в кластере и южную связь на плоскости данных.
Northbound Communication. Сетевой контроллер взаимодействует на плоскости управления с программным обеспечением с поддержкой SDN, таким как Windows PowerShell и System Center диспетчер виртуальных машин (SCVMM). Эти средства управления предоставляют возможность определять сетевую политику и создавать целевое состояние сети, с которым можно сравнить фактическую конфигурацию сети, чтобы обеспечить четность фактической конфигурации с состоянием цели.
Связь с кластером сетевого контроллера. При настройке трех или нескольких виртуальных машин в качестве узлов кластера сетевого контроллера эти узлы взаимодействуют друг с другом. Это взаимодействие может быть связано с синхронизацией и репликацией данных между узлами или конкретным взаимодействием между службами сетевого контроллера.
Южное направление связи. Сетевой контроллер взаимодействует на плоскости данных с инфраструктурой SDN и другими устройствами, такими как программные подсистемы балансировки нагрузки, шлюзы и хост-компьютеры. С помощью сетевого контроллера можно настроить и управлять этими устройствами на юге, чтобы они поддерживали состояние цели, настроенное для сети.
Связь с севером
Сетевой контроллер поддерживает проверку подлинности, авторизацию и шифрование для связи northbound. В следующих разделах содержатся сведения о настройке этих параметров безопасности.
Проверка подлинности
При настройке проверки подлинности для северного интерфейса сетевого контроллера, вы разрешаете узлам кластера сетевого контроллера и клиентам управления проверять удостоверение устройства, с которым они взаимодействуют.
Сетевой контроллер поддерживает следующие три режима проверки подлинности между клиентами управления и узлами сетевого контроллера.
Примечание.
Если вы развертываете сетевой контроллер с помощью System Center диспетчер виртуальных машин, поддерживается только режим Kerberos.
Kerberos. Используйте проверку подлинности Kerberos при присоединении клиента управления и всех узлов кластера сетевого контроллера к домену Active Directory. Домен Active Directory должен иметь учетные записи домена, используемые для проверки подлинности.
X509. Используйте X509 для проверки подлинности на основе сертификатов для клиентов управления, не присоединенных к домену Active Directory. Сертификаты необходимо зарегистрировать во всех узлах кластера сетевого контроллера и клиентах управления. Кроме того, все узлы и клиенты управления должны доверять сертификатам друг друга.
Нет. Используйте None для целей тестирования в тестовой среде и, следовательно, не рекомендуется использовать в рабочей среде. При выборе этого режима проверка подлинности между узлами и клиентами управления не выполняется.
Вы можете настроить режим аутентификации для восходящей связи с помощью команды Install-NetworkController Windows PowerShell с параметром ClientAuthentication.
Авторизация
При настройке авторизации для северных каналов связи сетевого контроллера вы позволяете узлам кластера сетевого контроллера и клиентам управления убедиться, что устройство, с которым они взаимодействуют, является доверенным и имеет разрешение на участие в обмене данными.
Используйте следующие методы авторизации для каждого из режимов проверки подлинности, поддерживаемых сетевым контроллером.
Kerberos. При использовании метода проверки подлинности Kerberos вы определяете пользователей и компьютеры, которые будут авторизованы для взаимодействия с сетевым контроллером, создав группу безопасности в Active Directory, а затем добавив в эту группу авторизованных пользователей и компьютеры. Сетевой контроллер можно сконфигурировать для использования группы безопасности для авторизации, используя параметр ClientSecurityGroup команды Windows PowerShell Install-NetworkController. После установки сетевого контроллера можно изменить группу безопасности с помощью команды Set-NetworkController с параметром -ClientSecurityGroup. При использовании SCVMM необходимо указать группу безопасности в качестве параметра во время развертывания.
X509. При использовании метода проверки подлинности X509 сетевой контроллер принимает только запросы от клиентов управления, отпечатки сертификатов которых известны сетевому контроллеру. Эти отпечатки можно настроить с помощью параметра ClientCertificateThumbprint команды Install-NetworkController Windows PowerShell. Вы можете добавлять другие отпечатки клиента в любое время с помощью команды Set-NetworkController.
Нет. При выборе этого режима проверка подлинности между узлами и клиентами управления не выполняется. Используйте None для целей тестирования в тестовой среде и, следовательно, не рекомендуется использовать в рабочей среде.
Шифрование
Канал связи на север с использованием протокола SSL (Secure Sockets Layer) создаёт зашифрованный канал между клиентами управления и узлами сетевого контроллера. Ssl-шифрование для связи northbound включает следующие требования:
Все узлы сетевого контроллера должны иметь идентичный сертификат, включающий в себя цели проверки подлинности сервера и проверки подлинности клиента в расширениях расширенного использования ключей (EKU).
Универсальный код ресурса (URI), используемый клиентами управления для связи с сетевым контроллером, должен быть именем субъекта сертификата. Имя субъекта сертификата должно содержать полное доменное имя (FQDN) или IP-адрес конечной точки REST контроллера сети.
Если узлы сетевого контроллера находятся в разных подсетях, имя субъекта сертификатов должно совпадать со значением, используемым для параметра RestName в команде Install-NetworkController Windows PowerShell.
Все клиенты управления должны доверять SSL-сертификату.
Регистрация и настройка SSL-сертификата
Необходимо вручную зарегистрировать SSL-сертификат на узлах сетевого контроллера.
После регистрации сертификата можно настроить сетевой контроллер для использования сертификата с параметром -ServerCertificate команды Install-NetworkController Windows PowerShell. Если вы уже установили сетевой контроллер, вы можете обновить конфигурацию в любое время с помощью команды Set-NetworkController .
Примечание.
Если вы используете SCVMM, необходимо добавить сертификат в качестве ресурса библиотеки. Дополнительные сведения см. в разделе "Настройка сетевого контроллера SDN" в структуре VMM.
Связь кластера сетевого контроллера
Сетевой контроллер поддерживает проверку подлинности, авторизацию и шифрование для обмена данными между узлами сетевого контроллера. Связь выполняется через Windows Communication Foundation (WCF) и TCP.
Этот режим можно настроить, используя параметр ClusterAuthentication команды Install-NetworkControllerCluster Windows PowerShell.
Дополнительные сведения см. в разделе Install-NetworkControllerCluster.
Проверка подлинности
При настройке проверки подлинности для связи с кластером сетевого контроллера можно разрешить узлам кластера сетевого контроллера проверить удостоверение других узлов, с которыми они взаимодействуют.
Сетевой контроллер поддерживает следующие три режима проверки подлинности между узлами сетевого контроллера.
Примечание.
При развертывании сетевого контроллера с помощью SCVMM поддерживается только режим Kerberos .
Kerberos. Проверку подлинности Kerberos можно использовать при присоединении всех узлов кластера сетевого контроллера к домену Active Directory с учетными записями домена, используемыми для проверки подлинности.
X509. X509 — это проверка подлинности на основе сертификатов. Проверку подлинности X509 можно использовать, если узлы кластера сетевого контроллера не присоединены к домену Active Directory. Чтобы использовать X509, необходимо зарегистрировать сертификаты на всех узлах кластера сетевого контроллера, а все узлы должны доверять сертификатам. Кроме того, имя субъекта сертификата, зарегистрированного на каждом узле, должно совпадать с DNS-именем узла.
Нет. При выборе этого режима проверка подлинности между узлами сетевого контроллера не выполняется. Этот режим предоставляется только для тестирования и не рекомендуется использовать в рабочей среде.
Авторизация
При настройке авторизации для связи с кластером сетевого контроллера можно разрешить узлам кластера сетевого контроллера убедиться, что узлы, с которыми они взаимодействуют, являются доверенными и имеют разрешение на участие в обмене данными.
Для каждого из режимов проверки подлинности, поддерживаемых сетевым контроллером, используются следующие методы авторизации.
Kerberos. Узлы сетевого контроллера принимают запросы на обмен данными только из других учетных записей компьютера сетевого контроллера. Эти учетные записи можно настроить при развертывании сетевого контроллера с помощью параметра Name команды New-NetworkControllerNodeObject Windows PowerShell.
X509. Узлы сетевого контроллера принимают запросы на обмен данными только из других учетных записей компьютера сетевого контроллера. Эти учетные записи можно настроить при развертывании сетевого контроллера с помощью параметра Name команды New-NetworkControllerNodeObject Windows PowerShell.
Нет. При выборе этого режима авторизация между узлами сетевого контроллера не выполняется. Этот режим предоставляется только для тестирования и не рекомендуется использовать в рабочей среде.
Шифрование
Обмен данными между узлами сетевого контроллера шифруется с помощью шифрования уровня транспорта WCF. Эта форма шифрования используется, когда методы проверки подлинности и авторизации являются сертификатами Kerberos или X509. Дополнительные сведения см. в следующих разделах:
- Практическое руководство. Защита службы с использованием учетных данных Windows
- Практическое руководство. Защита службы с помощью сертификатов X.509.
Коммуникация на юг
Сетевой контроллер взаимодействует с различными типами устройств для южного направления связи. Эти взаимодействия используют разные протоколы. Из-за этого существуют различные требования к проверке подлинности, авторизации и шифрованию в зависимости от типа устройства и протокола, используемого сетевым контроллером для взаимодействия с устройством.
В следующей таблице приведены сведения о взаимодействии сетевого контроллера с разными устройствами на юге.
| Устройство/служба южного направления | Протокол | Используемая аутентификация |
|---|---|---|
| Балансировщик нагрузки программного обеспечения | WCF (MUX), TCP (узел) | Сертификаты |
| Брандмауэр | OVSDB | Сертификаты |
| Шлюз | WinRM | Kerberos, сертификаты |
| Виртуальная сеть | OVSDB, WCF | Сертификаты |
| Определяемая пользователем маршрутизация | OVSDB | Сертификаты |
Для каждого из этих протоколов механизм взаимодействия описан в следующем разделе.
Проверка подлинности
Для связи с южным трафиком используются следующие протоколы и методы проверки подлинности.
WCF/TCP/OVSDB. Для этих протоколов проверка подлинности выполняется с помощью сертификатов X509. Сетевой контроллер и одноранговый мультиплексор программной балансировки нагрузки (SLB) MUX/хост-машины предоставляют друг другу свои сертификаты для взаимной аутентификации. Каждый сертификат должен быть доверен удаленной стороной.
Для проверки подлинности на юге можно использовать тот же SSL-сертификат, настроенный для шифрования связи с клиентами Northbound. Кроме того, необходимо сконфигурировать сертификат на SLB MUX и хост-устройствах. Имя субъекта сертификата должно совпадать с DNS-именем устройства.
WinRM. Для этого протокола проверка подлинности выполняется с помощью Kerberos (для присоединенных к домену компьютеров) и с помощью сертификатов (для компьютеров, не присоединенных к домену).
Авторизация
Для связи на юге используются следующие протоколы и методы авторизации.
WCF/TCP. Для этих протоколов авторизация основана на имени взаимного объекта. Сетевой контроллер сохраняет DNS-имя однорангового устройства и использует его для авторизации. Это DNS-имя должно соответствовать имени субъекта устройства в сертификате. Аналогичным образом сертификат сетевого контроллера должен совпадать с DNS-именем сетевого контроллера, хранящимся на одноранговом устройстве.
WinRM. Если используется Kerberos, учетная запись клиента WinRM должна присутствовать в предопределенной группе в Active Directory или в группе локальных администраторов на сервере. Если используются сертификаты, клиент представляет сертификат серверу, которому сервер разрешает использование имени субъекта или издателя, а сервер использует сопоставленную учетную запись пользователя для выполнения проверки подлинности.
OVSDB. Авторизация основана на имени субъекта одноранговой сущности. Сетевой контроллер сохраняет DNS-имя однорангового устройства и использует его для авторизации. Это DNS-имя должно соответствовать имени субъекта устройства в сертификате.
Шифрование
Для связи на юге используются следующие методы шифрования для протоколов.
WCF/TCP/OVSDB. Для этих протоколов шифрование выполняется с помощью сертификата, зарегистрированного на клиенте или сервере.
WinRM. Трафик WinRM шифруется по умолчанию с помощью поставщика поддержки безопасности Kerberos (SSP). Вы можете настроить дополнительное шифрование в виде SSL на сервере WinRM.