Skydda nätverksstyrenheten

Gäller för: Azure Local, versionerna 23H2 och 22H2; Windows Server 2022, Windows Server 2019, Windows Server 2016

I den här artikeln beskrivs hur du konfigurerar säkerhet för all kommunikation mellan nätverksstyrenheten och andra program och enheter.

De kommunikationsvägar som du kan skydda omfattar northbound-kommunikation på hanteringsplanet, klusterkommunikation mellan virtuella datorer (Network Controller) i ett kluster och southbound-kommunikation på dataplanet.

1. Norrgående kommunikation. Nätverksstyrenheten kommunicerar på hanteringsplanet med SDN-kompatibel hanteringsprogram som Windows PowerShell och System Center Virtual Machine Manager (SCVMM). Dessa hanteringsverktyg ger dig möjlighet att definiera nätverksprinciper och skapa ett måltillstånd för nätverket, mot vilket du kan jämföra den faktiska nätverkskonfigurationen för att få den faktiska konfigurationen i paritet med måltillståndet.

2. Klusterkommunikation för nätverksstyrenhet. När du konfigurerar tre eller fler virtuella datorer som nätverksstyrenhetsklusternoder kommunicerar dessa noder med varandra. Den här kommunikationen kan vara relaterad till synkronisering och replikering av data mellan noder eller specifik kommunikation mellan nätverksstyrenhetstjänster.

3. Kommunikation i södergående riktning. Nätverksstyrenheten kommunicerar på dataplanet med SDN-infrastruktur och andra enheter som lastbalanserare, gatewayer och värddatorer. Du kan använda nätverksstyrenheten för att konfigurera och hantera dessa enheter i södergående riktning så att de behåller det måltillstånd som du har konfigurerat för nätverket.

Kommunikation i norrgående trafik

Nätverksstyrenheten stöder autentisering, auktorisering och kryptering för northbound-kommunikation. Följande avsnitt innehåller information om hur du konfigurerar dessa säkerhetsinställningar.

Autentisering

När du konfigurerar autentisering för nätverksstyrenhetens northbound-kommunikation tillåter du att klusternoder och hanteringsklienter för nätverksstyrenheten verifierar identiteten för den enhet som de kommunicerar med.

Nätverksstyrenheten stöder följande tre autentiseringslägen mellan hanteringsklienter och nätverksstyrenhetsnoder.

Kommentar

Om du distribuerar nätverksstyrenheten med System Center Virtual Machine Manager stöds endast Kerberos-läge .

1. Kerberos. Använd Kerberos-autentisering när du ansluter både hanteringsklienten och alla klusternoder för nätverksstyrenheten till en Active Directory-domän. Active Directory-domänen måste ha domänkonton som används för autentisering.

2. X509. Använd X509 för certifikatbaserad autentisering för hanteringsklienter som inte är anslutna till en Active Directory-domän. Du måste registrera certifikat till alla nätverksstyrenhetsklusternoder och hanteringsklienter. Dessutom måste alla noder och hanteringsklienter lita på varandras certifikat.

3. Inga. Använd Ingen i testsyfte i en testmiljö och rekommenderas därför inte för användning i en produktionsmiljö. När du väljer det här läget utförs ingen autentisering mellan noder och hanteringsklienter.

Du kan konfigurera autentiseringsläget för northbound-kommunikation med hjälp av Windows PowerShell-kommandot Install-NetworkController med parametern ClientAuthentication .

Auktorisering

När du konfigurerar auktorisering för nätverksstyrenhetens northbound-kommunikation tillåter du nätverksstyrenhetens klusternoder och hanteringsklienter att verifiera att enheten som de kommunicerar med är betrodd och har behörighet att delta i kommunikationen.

Använd följande auktoriseringsmetoder för var och en av de autentiseringslägen som stöds av nätverksstyrenheten.

1. Kerberos. När du använder Kerberos-autentiseringsmetoden definierar du de användare och datorer som har behörighet att kommunicera med nätverksstyrenheten genom att skapa en säkerhetsgrupp i Active Directory och sedan lägga till behöriga användare och datorer i gruppen. Du kan konfigurera nätverksstyrenheten att använda säkerhetsgruppen för auktorisering med hjälp av parametern ClientSecurityGroup i Kommandot Install-NetworkController Windows PowerShell. När du har installerat nätverksstyrenheten kan du ändra säkerhetsgruppen med kommandot Set-NetworkController med parametern -ClientSecurityGroup. Om du använder SCVMM måste du ange säkerhetsgruppen som en parameter under distributionen.

2. X509. När du använder X509-autentiseringsmetoden accepterar nätverksstyrenheten endast begäranden från hanteringsklienter vars tumavtryck för certifikat är kända för nätverksstyrenheten. Du kan konfigurera dessa tumavtryck med hjälp av parametern ClientCertificateThumbprint i Windows PowerShell-kommandot Install-NetworkController . Du kan lägga till andra klienttumavtryck när som helst med hjälp av kommandot Set-NetworkController.

3. Inga. När du väljer det här läget utförs ingen autentisering mellan noder och hanteringsklienter. Använd Ingen i testsyfte i en testmiljö och rekommenderas därför inte för användning i en produktionsmiljö.

Kryptering

Northbound-kommunikation använder SSL (Secure Sockets Layer) för att skapa en krypterad kanal mellan hanteringsklienter och noder för nätverksstyrenhet. SSL-kryptering för northbound-kommunikation innehåller följande krav:

• Alla nätverksstyrenhetsnoder måste ha ett identiskt certifikat som innehåller serverautentiserings- och klientautentiseringssyften i EKU-tillägg (Enhanced Key Usage).

• Den URI som används av hanteringsklienter för att kommunicera med nätverksstyrenheten måste vara certifikatets ämnesnamn. Certifikatets ämnesnamn måste innehålla antingen det fullständigt kvalificerade domännamnet (FQDN) eller IP-adressen för nätverksstyrenhetens REST-slutpunkt.

• Om nätverksstyrenhetsnoder finns i olika undernät måste certifikatets ämnesnamn vara detsamma som värdet som används för RestName-parametern i Kommandot Install-NetworkController Windows PowerShell.

• Alla hanteringsklienter måste lita på SSL-certifikatet.

Registrering och konfiguration av SSL-certifikat

Du måste registrera SSL-certifikatet manuellt på nätverksstyrenhetsnoder.

När certifikatet har registrerats kan du konfigurera nätverksstyrenheten att använda certifikatet med parametern -ServerCertificate i Kommandot Install-NetworkController Windows PowerShell. Om du redan har installerat nätverksstyrenheten kan du uppdatera konfigurationen när som helst med hjälp av kommandot Set-NetworkController .

Kommentar

Om du använder SCVMM måste du lägga till certifikatet som en biblioteksresurs. Mer information finns i Konfigurera en SDN-nätverksstyrenhet i VMM-infrastrukturresurserna.

Klusterkommunikation för nätverksstyrenhet

Nätverksstyrenheten stöder autentisering, auktorisering och kryptering för kommunikation mellan nätverksstyrenhetsnoder. Kommunikationen sker via Windows Communication Foundation (WCF) och TCP.

Du kan konfigurera det här läget med parametern ClusterAuthentication för Windows PowerShell-kommandot Install-NetworkControllerCluster .

Mer information finns i Install-NetworkControllerCluster.

Autentisering

När du konfigurerar autentisering för nätverksstyrenhetsklusterkommunikation tillåter du klusternoder i nätverksstyrenheten att verifiera identiteten för de andra noder som de kommunicerar med.

Nätverksstyrenheten stöder följande tre autentiseringslägen mellan nätverksstyrenhetsnoder.

Kommentar

Om du distribuerar nätverksstyrenheten med hjälp av SCVMM stöds endast Kerberos-läge .

1. Kerberos. Du kan använda Kerberos-autentisering när alla nätverksstyrenhetsklusternoder är anslutna till en Active Directory-domän med domänkonton som används för autentisering.

2. X509. X509 är certifikatbaserad autentisering. Du kan använda X509-autentisering när nätverksstyrenhetens klusternoder inte är anslutna till en Active Directory-domän. Om du vill använda X509 måste du registrera certifikat till alla nätverksstyrenhetsklusternoder och alla noder måste lita på certifikaten. Dessutom måste certifikatets ämnesnamn som har registrerats på varje nod vara samma som nodens DNS-namn.

3. Inga. När du väljer det här läget utförs ingen autentisering mellan nätverksstyrenhetsnoder. Det här läget tillhandahålls endast i testsyfte och rekommenderas inte för användning i en produktionsmiljö.

Auktorisering

När du konfigurerar auktorisering för nätverksstyrenhetsklusterkommunikation tillåter du klusternoder i nätverksstyrenheten att kontrollera att noderna som de kommunicerar med är betrodda och har behörighet att delta i kommunikationen.

För var och en av de autentiseringslägen som stöds av nätverksstyrenheten används följande auktoriseringsmetoder.

1. Kerberos. Nätverksstyrenhetsnoder accepterar endast kommunikationsbegäranden från andra nätverksstyrenhetsdatorkonton. Du kan konfigurera dessa konton när du distribuerar nätverksstyrenheten med hjälp av parametern Namn för kommandot New-NetworkControllerNodeObject Windows PowerShell.

2. X509. Nätverksstyrenhetsnoder accepterar endast kommunikationsbegäranden från andra nätverksstyrenhetsdatorkonton. Du kan konfigurera dessa konton när du distribuerar nätverksstyrenheten med hjälp av parametern Namn för kommandot New-NetworkControllerNodeObject Windows PowerShell.

3. Inga. När du väljer det här läget utförs ingen auktorisering mellan nätverksstyrenhetsnoder. Det här läget tillhandahålls endast i testsyfte och rekommenderas inte för användning i en produktionsmiljö.

Kryptering

Kommunikationen mellan nätverksstyrenhetsnoder krypteras med kryptering på WCF-transportnivå. Den här typen av kryptering används när autentiserings- och auktoriseringsmetoderna antingen är Kerberos- eller X509-certifikat. Mer information finns i följande avsnitt.

• Gör så här: Skydda en tjänst med Windows-autentiseringsuppgifter
• Anvisningar: Skydda en tjänst med X.509-certifikat.

Kommunikation i södergående trafik

Nätverksstyrenheten interagerar med olika typer av enheter för southbound-kommunikation. Dessa interaktioner använder olika protokoll. På grund av detta finns det olika krav för autentisering, auktorisering och kryptering beroende på vilken typ av enhet och protokoll som används av nätverksstyrenheten för att kommunicera med enheten.

Följande tabell innehåller information om nätverksstyrenhetsinteraktion med olika enheter i södergående riktning.

Enhet/tjänst för södergående trafik	Protokoll	Autentisering som används
Software Load Balancer	WCF (MUX), TCP (värd)	Certifikat
Brandvägg	OVSDB	Certifikat
Gateway	WinRM	Kerberos, Certifikat
Virtuella nätverk	OVSDB, WCF	Certifikat
Användardefinierad routning	OVSDB	Certifikat

För vart och ett av dessa protokoll beskrivs kommunikationsmekanismen i följande avsnitt.

Autentisering

För southbound-kommunikation används följande protokoll och autentiseringsmetoder.

1. WCF/TCP/OVSDB. För dessa protokoll utförs autentisering med hjälp av X509-certifikat. Både nätverksstyrenheten och peer-MUX(Software Load Balancing) Multiplexer (MUX)/värddatorerna presenterar sina certifikat för varandra för ömsesidig autentisering. Varje certifikat måste vara betrott av fjärr-peer.

   För sydgående autentisering kan du använda samma SSL-certifikat som har konfigurerats för att kryptera kommunikationen med northbound-klienterna. Du måste också konfigurera ett certifikat på SLB MUX- och värdenheterna. Certifikatmottagarens namn måste vara samma som enhetens DNS-namn.

2. WinRM. För det här protokollet utförs autentisering med Kerberos (för domänanslutna datorer) och med hjälp av certifikat (för icke-domänanslutna datorer).

Auktorisering

För southbound-kommunikation används följande protokoll och auktoriseringsmetoder.

1. WCF/TCP. För dessa protokoll baseras auktoriseringen på ämnesnamnet för peer-entiteten. Nätverksstyrenheten lagrar PEER-enhetens DNS-namn och använder det för auktorisering. Det här DNS-namnet måste matcha enhetens ämnesnamn i certifikatet. På samma sätt måste nätverksstyrenhetscertifikatet matcha dns-namnet för nätverksstyrenheten som lagras på peer-enheten.

2. WinRM. Om Kerberos används måste WinRM-klientkontot finnas i en fördefinierad grupp i Active Directory eller i gruppen Lokala administratörer på servern. Om certifikat används visar klienten ett certifikat till servern som servern auktoriserar med hjälp av ämnesnamnet/utfärdaren, och servern använder ett mappat användarkonto för att utföra autentisering.

3. OVSDB. Auktoriseringen baseras på ämnesnamnet för peer-entiteten. Nätverksstyrenheten lagrar PEER-enhetens DNS-namn och använder det för auktorisering. Det här DNS-namnet måste matcha enhetens ämnesnamn i certifikatet.

Kryptering

För southbound-kommunikation används följande krypteringsmetoder för protokoll.

1. WCF/TCP/OVSDB. För dessa protokoll utförs kryptering med hjälp av certifikatet som har registrerats på klienten eller servern.

2. WinRM. WinRM-trafik krypteras som standard med hjälp av Kerberos SSP (Security Support Provider). Du kan konfigurera Ytterligare kryptering i form av SSL på WinRM-servern.