Share via

Konfigurace šifrovaných sítí v SDN pomocí nástroje VMM

  • Článek

Důležité

Tato verze nástroje Virtual Machine Manager (VMM) dosáhla konce podpory. Doporučujeme upgradovat na VMM 2022.

Tento článek vysvětluje, jak šifrovat sítě virtuálních počítačů v softwarově definované síti (SDN) pomocí nástroje System Center – Virtual Machine Manager (VMM).

Dnes může síťový provoz šifrovat hostovaný operační systém nebo aplikace pomocí technologií, jako jsou IPSec a TLS. Tyto technologie se však obtížně implementují z důvodu jejich inherentní složitosti a problémů souvisejících s interoperabilitou mezi systémy z důvodu povahy provádění.

Pomocí funkce šifrovaných sítí v nástroji VMM je možné v sítích virtuálních počítačů snadno nakonfigurovat šifrování typu end-to-end pomocí síťového adaptéru. Toto šifrování zabraňuje čtení a manipulaci s provozem mezi dvěma virtuálními počítači ve stejné síti virtuálních počítačů a stejné podsíti.

Tuto funkci podporuje nástroj VMM 1801 a novější.

Řízení šifrování je na úrovni podsítě a šifrování je možné povolit nebo zakázat pro každou podsíť sítě virtuálních počítačů.

Tato funkce se spravuje prostřednictvím síťového adaptéru SDN. Pokud ještě nemáte infrastrukturu softwarově definované sítě (SDN) s síťovým adaptérem, další informace najdete v tématu nasazení SDN.

Poznámka

Tato funkce v současné době poskytuje ochranu před správci třetích stran a sítí a nenabízí žádnou ochranu před správci prostředků infrastruktury. Ochrana před správci prostředků infrastruktury je v kanálu a brzy bude k dispozici.

Než začnete

Ujistěte se, že jsou splněné následující požadavky:

  • Alespoň dva hostitelé pro virtuální počítače tenanta k ověření šifrování.
  • Síť virtuálních počítačů založená na technologii HNV s povoleným šifrováním a certifikátem, který může vytvořit a distribuovat správce prostředků infrastruktury.

    Poznámka

    Certifikát spolu s privátním klíčem musí být uložený v místním úložišti certifikátů všech hostitelů, ve kterých se nacházejí virtuální počítače (této sítě).

Postup – konfigurace šifrovaných sítí

Postupujte následovně:

  1. Vytvořte certifikát a pak ho umístěte do místního úložiště certifikátů všech hostitelů, do kterých plánujete umístit virtuální počítače tenanta pro účely tohoto ověření.

  2. Můžete vytvořit certifikát podepsaný svým držitelem nebo získat certifikát od certifikační autority. Informace o tom, jak vygenerovat certifikáty podepsané svým držitelem a umístit je do příslušných umístění jednotlivých hostitelů, které budete používat, najdete v tématu Konfigurace šifrování pro virtuální podsíť.

    Poznámka

    Poznamenejte si kryptografický otisk certifikátu, který vygenerujete. V předchozím článku v kroku 2 nemusíte provádět akce popsané v části "Vytvoření přihlašovacích údajů certifikátu" a "Konfigurace Virtual Network pro šifrování". Tato nastavení nakonfigurujete pomocí nástroje VMM v následujících krocích.

  3. Nastavte síť poskytovatele HNV pro připojení tenanta k virtuálním počítačům, které bude spravovat síťový adaptér. Další informace.

  4. Vytvořte síť tenanta virtuálního počítače a podsíť. Při vytváření podsítě vyberte Povolit šifrování v části Podsítě virtuálních počítačů. Další informace.

    V dalším kroku vložte kryptografický otisk certifikátu, který jste vytvořili.

    Snímek obrazovky se šifrováním sítě

    Snímek obrazovky s podrobnostmi o šifrování

  5. Vytvořte dva virtuální počítače na dvou samostatných fyzických hostitelích a připojte je k výše uvedené podsíti. Další informace.

  6. Připojte libovolnou aplikaci pro čichování paketů na dvou síťových rozhraních dvou hostitelů, ve kterých jsou umístěné virtuální počítače tenanta.

  7. Mezi těmito dvěma hostiteli můžete odesílat přenosy, ping, HTTP nebo jakékoli jiné pakety a kontrolovat pakety v aplikaci pro čichání paketů. Pakety by neměly mít žádný rozpoznatelný prostý text, jako jsou parametry požadavku HTTP.