Konfigurieren von verschlüsselten Netzwerken in einem SDN mit VMM

  • Artikel

Wichtig

Diese Version von Virtual Machine Manager (VMM) hat das Ende des Supports erreicht. Es wird empfohlen, ein Upgrade auf VMM 2022 durchzuführen.

In diesem Artikel wird erläutert, wie Sie die VM-Netzwerke im softwaredefiniertem Netzwerk (SDN) mithilfe von System Center – Virtual Machine Manager (VMM) verschlüsseln.

Derzeit kann der durch das Gastbetriebssystem oder eine Anwendung generierte Netzwerkdatenverkehr mit Technologien wie IPSec und TLS verschlüsselt werden. Die Implementierung dieser Technologien erweist sich jedoch als schwierig, was auf ihre inhärente Komplexität und die Herausforderungen im Zusammenhang mit der Interoperabilität zwischen Systemen zurückzuführen ist.

Mit der Funktion verschlüsselter Netzwerke in VMM kann mithilfe des Netzwerkcontrollers (NC) mühelos eine End-to-End-Verschlüsselung in den VM-Netzwerken konfiguriert werden. Diese Verschlüsselung verhindert, dass Datenverkehr zwischen zwei VMs im gleichen VM-Netzwerk und demselben Subnetz gelesen und bearbeitet wird.

VMM 1801 und höher unterstützt dieses Feature.

Die Steuerung der Verschlüsselung erfolgt auf Subnetzebene, und die Verschlüsselung kann für jedes Subnetz des VM-Netzwerks aktiviert bzw. deaktiviert werden.

Diese Funktion wird vom Netzwerkcontroller (NC) des SDN gesteuert. Wenn Sie noch nicht über eine SDN-Infrastruktur (Software Defined Network) mit einem NC verfügen, finden Sie weitere Informationen unter Bereitstellen von SDN.

Hinweis

Dieses Feature bietet derzeit Schutz vor Drittanbieter- und Netzwerkadministratoren und bietet keinen Schutz vor Fabric-Administratoren. Der Schutz vor Fabric-Administratoren befindet sich derzeit in Bearbeitung und wird in Kürze verfügbar sein.

Vorbereitung

Stellen Sie sicher, dass die folgenden Voraussetzungen erfüllt werden:

  • Mindestens zwei Hosts für Mandanten-VMs, um die Verschlüsselung zu überprüfen.
  • HNV-basiertes VM-Netzwerk mit aktivierter Verschlüsselung und einem Zertifikat, das vom Fabricadministrator erstellt und verteilt werden kann.

    Hinweis

    Das Zertifikat muss zusammen mit seinem privaten Schlüssel im lokalen Zertifikatspeicher aller Hosts gespeichert werden, auf denen sich die VMs (dieses Netzwerks) befinden.

Vorgehensweise zum Konfigurieren verschlüsselter Netzwerke

Führen Sie die folgenden Schritte durch:

  1. Erstellen Sie ein Zertifikat, und platzieren Sie das Zertifikat dann im lokalen Zertifikatspeicher aller Hosts, auf denen Sie die Mandanten-VMs für diese Überprüfung platzieren möchten.

  2. Sie können ein selbstsigniertes Zertifikat erstellen oder ein Zertifikat von einer Zertifizierungsstelle abrufen. Informationen dazu, wie Sie selbstsignierte Zertifikate generieren und an den entsprechenden Speicherorten jedes Hosts platzieren, die Sie verwenden, finden Sie unter Konfigurieren der Verschlüsselung für ein virtuelles Subnetz.

    Hinweis

    Notieren Sie sich den „Fingerabdruck“ des Zertifikats, das Sie generieren. Im obigen Artikel in Schritt 2 müssen Sie nicht die Aktionen ausführen, die unter "Erstellen von Zertifikatanmeldeinformationen" und "Konfigurieren eines Virtual Network für die Verschlüsselung" beschrieben sind. Sie konfigurieren diese Einstellungen mithilfe von VMM in den folgenden Schritten.

  3. Richten Sie ein von NC verwaltetes Netzwerk eines HNV-Anbieters (Hyper-V-Netzwerkvirtualisierung) ein, um Konnektivität mit der Mandanten-VM herzustellen. Weitere Informationen

  4. Erstellen Sie ein Netzwerk und ein Subnetz für die Mandanten-VM. Wählen Sie beim Erstellen des Subnetzes unter VM-Subnetze die Option Verschlüsselung aktivieren aus. Weitere Informationen

    Fügen Sie im nächsten Schritt den Fingerabdruck des Zertifikats ein, das Sie erstellt haben.

    Screenshot der Netzwerkverschlüsselung.

    Screenshot der Verschlüsselungsdetails.

  5. Erstellen Sie zwei VMs auf zwei separaten physischen Hosts, und verbinden Sie sie mit dem obigen Subnetz. Weitere Informationen.

  6. Fügen Sie eine beliebige Anwendung zur Paketermittlung an die beiden Netzwerkschnittstellen der beiden Hosts an, auf denen sich die Mandanten-VMs befinden.

  7. Senden Sie Datenverkehr, Ping, HTTP oder andere Pakete zwischen den beiden Hosts, und überprüfen Sie die Pakete in der Anwendung zum Ermitteln von Paketen. Die Pakete sollten keinen erkennbaren Nur-Text aufweisen, wie die Parameter einer HTTP-Anforderung.