Konfigurieren von verschlüsselten Netzwerken in einem SDN mit VMM

Wichtig

Diese Version von Virtual Machine Manager (VMM) hat das Supportende erreicht. Sie sollten ein Upgrade auf VMM 2019 durchführen.

In diesem Artikel wird erläutert, wie mit System Center – Virtual Machine Manager (VMM) VM-Netzwerke in einem softwaredefinierten Netzwerk (SDN) verschlüsselt werden.

Derzeit kann der durch das Gastbetriebssystem oder eine Anwendung generierte Netzwerkdatenverkehr mit Technologien wie IPSec und TLS verschlüsselt werden. Die Implementierung dieser Technologien erweist sich jedoch als schwierig, was auf ihre inhärente Komplexität und die Herausforderungen im Zusammenhang mit der Interoperabilität zwischen Systemen zurückzuführen ist.

Mit der Funktion verschlüsselter Netzwerke in VMM kann mithilfe des Netzwerkcontrollers (NC) mühelos eine End-to-End-Verschlüsselung in den VM-Netzwerken konfiguriert werden. Diese Verschlüsselung verhindert, dass Datenverkehr zwischen zwei VMs im selben VM-Netzwerk und Subnetz gelesen und bearbeitet wird. VMM 1801 und höher unterstützt dieses Feature.

Die Steuerung der Verschlüsselung erfolgt auf Subnetzebene, und die Verschlüsselung kann für jedes Subnetz des VM-Netzwerks aktiviert bzw. deaktiviert werden.

Diese Funktion wird vom Netzwerkcontroller (NC) des SDN gesteuert. Wenn Sie noch keine SDN-Infrastruktur (softwaredefiniertes Netzwerk) mit einem NC besitzen, lesen Sie den Artikel zum Bereitstellen eines SDN.

Hinweis

Dieses Feature bietet derzeit Schutz vor Drittanbieter- und Netzwerkadministratoren, jedoch nicht vor Fabric-Administratoren. Der Schutz vor Fabric-Administratoren befindet sich derzeit in Bearbeitung und wird in Kürze verfügbar sein.

Vorbereitung

Stellen Sie sicher, dass die folgenden Voraussetzungen erfüllt werden:

  • Es stehen mindestens zwei Hosts für Mandanten-VMs zur Überprüfung der Verschlüsselung verfügbar.
  • Ein Hyper-V-basiertes VM-Netzwerk mit aktivierter Verschlüsselung und ein Zertifikat, das vom Fabric-Administrator erstellt und verteilt werden kann, sind vorhanden. Hinweis: Das Zertifikat und der zugehörige private Schlüssel müssen im lokalen Zertifikatspeicher aller Hosts gespeichert werden, in denen sich die VMs (dieses Netzwerks) befinden.

Vorgehensweise zum Konfigurieren verschlüsselter Netzwerke

Führen Sie die folgenden Schritte durch:

  1. Erstellen Sie ein Zertifikat, und platzieren Sie es dann in den lokalen Zertifikatspeicher aller Hosts, in denen die Mandanten-VMs für die jeweilige Überprüfung platziert werden sollen.

    Sie können ein selbstsigniertes Zertifikat erstellen oder ein Zertifikat von einer Zertifizierungsstelle abrufen. Informationen zum Generieren eines selbstsignierten Zertifikats und Platzieren dieses Zertifikats in die entsprechenden Speicherorte der einzelnen Hosts, die Sie verwenden, finden Sie in diesem Artikel.

    Hinweis

    Notieren Sie sich den „Fingerabdruck“ des Zertifikats, das Sie generieren. In dem oben in Schritt 1 genannten Artikel müssen Sie die Aktionen, die unter „Erstellen der Zertifikatanmeldeinformationen“ und „Konfigurieren eines virtuellen Netzwerks für die Verschlüsselung“ beschrieben werden, nicht durchführen. Um diese Einstellungen mit dem VMM zu konfigurieren, führen Sie die folgenden Schritte durch:

  2. Richten Sie ein von NC verwaltetes Netzwerk eines HNV-Anbieters (Hyper-V-Netzwerkvirtualisierung) ein, um Konnektivität mit der Mandanten-VM herzustellen. Weitere Informationen

  3. Erstellen Sie ein Netzwerk und ein Subnetz für die Mandanten-VM. Wählen Sie beim Erstellen des Subnetzes unter VM-Subnetze die Option Verschlüsselung aktivieren aus. Weitere Informationen

    Fügen Sie im nächsten Schritt den Fingerabdruck des Zertifikats ein, das Sie erstellt haben.

    Netzwerkverschlüsselung

    Verschlüsselungsdetails

  4. Erstellen Sie auf zwei separaten physischen Hosts zwei VMs, und verbinden Sie sie mit dem oben genannten Subnetz. Weitere Informationen

  5. Binden Sie eine beliebige Paketermittlungsanwendung in den zwei Netzwerkschnittstellen der beiden Hosts ein, in denen die Mandanten-VMs platziert sind.

  6. Senden Sie Datenverkehr, Pings, HTTP-Pakete oder andere Pakete zwischen den beiden Hosts, und überprüfen Sie die Pakete in der Paketermittlungsanwendung. Die Pakete dürfen nicht erkennbaren Klartext wie Parameter einer HTTP-Anforderung enthalten.