VMM を使用して SDN で暗号化されたネットワークを構成するConfigure encrypted networks in SDN using VMM

この記事では、System Center - Virtual Machine Manager (VMM) を使用してソフトウェア定義ネットワーク (SDN) で VM ネットワークを暗号化する方法について説明します。This article explains about how to encrypt the VM networks in software defined network (SDN) using System Center - Virtual Machine Manager (VMM).

現在では、IPSec や TLS のようなテクノロジを利用するゲスト OS またはアプリケーションでネットワーク トラフィックを暗号化することができます。Today, network traffic can be encrypted by the guest OS or an application using technologies like IPSec and TLS. ただし、これらのテクノロジには実装の性質からシステム間の相互運用性に関する特有の複雑さと難しさがあるので、実装するのが困難です。However, these technologies are difficult to implement because of their inherent complexity and challenges related to interoperability between systems because of the nature of implementation.

VMM の暗号化ネットワーク機能を使用すると、ネットワーク コントローラー (NC) を使用して VM ネットワークでエンド ツー エンドの暗号化を簡単に構成できます。Using the encrypted networks feature in VMM, end-to-end encryption can be easily configured on the VM networks by using the Network Controller (NC). この暗号化によって、同じ VM ネットワークおよび同じサブネット上の 2 つの VM 間のトラフィックが読み取られたり操作されたりするのを防止できます。This encryption prevents traffic between two VMs on the same VM network and same subnet, from being read and manipulated. VMM 1801 以降はこの機能をサポートしています。VMM 1801 and later supports this feature.

暗号化の制御はサブネット レベルで行われ、暗号化は VM ネットワークのサブネットごとに有効化/無効化が可能です。The control of encryption is at the subnet level and encryption can be enabled/disabled for each subnet of the VM network.

この機能は、SDN ネットワーク コントローラー (NC) を使用して管理されます。This feature is managed through the SDN Network Controller (NC). NC を使用するソフトウェア定義ネットワーク (SDN) インフラストラクチャがまだない場合は、SDN の展開に関する記事で詳細を参照してください。If you do not already have a Software Defined Network (SDN) infrastructure with an NC, see deploy SDN for more information.

注意

この機能は現在のところサード パーティおよびネットワーク管理者からの保護を提供しており、ファブリック管理者からの保護を提供していません。This feature currently provides protection from third-party and network admins, and doesn’t offer any protection against fabric admins. ファブリック管理者からの保護は開発中であり、間もなく提供されます。Protection against fabric admins is in the pipeline and will be available soon.

開始する前にBefore you start

次の前提条件を満たしていることを確認してください。Ensure the following prerequisites are met:

  • 暗号化を検証するためのテナント VM 用の少なくとも 2 つのホスト。At least two hosts for tenant VMs, to validate the encryption.
  • 暗号化が有効になっている HNV ベースの VM ネットワーク、およびファブリック管理者が作成して配布できる証明書。HNV based VM network with encryption enabled and a certificate, which can be created and distributed by fabric administrator. (そのネットワークの) VM が存在するすべてのホストのローカル証明書ストアに、証明書とその秘密キーが格納されている必要があることに注意してください。Not that The certificate along with its private key must be stored in the local certificate store of all the hosts, where the VMs (of that network) reside.

手順 - 暗号化されたネットワークの構成Procedure - configure encrypted networks

次の手順に従いますUse the following steps:

  1. 証明書を作成します。この検証用のテナント VM を配置する予定のすべてのホストのローカル証明書ストアにその証明書を配置します。Create a certificate and then place the certificate in the local certificate store of all the hosts, where you plan to place the tenant VMs for this validation.

    自己署名証明書を作成するか、CA から証明書を取得できます。You can either create a self-signed certificate or get a certificate from a CA. 自己署名証明書を生成して、使用する各ホストの適切な場所に配置する方法については、この記事をご覧くださいFor information on how to generate a self-signed certificate and place them in the appropriate locations of each host you will be using, see this article .

    注意

    生成した証明書の "サムプリント" をメモしておきます。Make a note of the "Thumbprint" of the certificate that you generate. 手順 2 で触れた記事では、「証明書資格情報の作成」と「暗号化用の仮想ネットワークの構成」で詳しく説明されている操作を実行する必要はありません。In the article pointed above in step 2- you do not have to perform the actions detailed in "Creating a Certificate Credential" and "Configuring a Virtual Network for Encryption". 次の手順に従って、VMM を使用してこれらの設定を構成します。You will configure those settings using VMM, in the following steps:

  2. NC で管理されるテナント VM 接続の HNV プロバイダー ネットワークを設定します。Set up an HNV provider network for tenant VM connectivity, which will be managed by the NC. 詳細については、こちらを参照してくださいLearn more.

  3. テナント VM ネットワークとサブネットを作成します。Create a tenant VM Network and a subnet. サブネットを作成するときに、[VM サブネット] の下にある [Enable Encryption](暗号化を有効にする) を選択します。While creating the subnet, select Enable Encryption under VM Subnets. 詳細については、こちらを参照してくださいLearn more.

    次の手順では、作成した証明書のサムプリントを貼り付けます。In the next step, paste the thumbprint of the certificate that you created.

    ネットワークの暗号化

    暗号化の詳細

  4. 2 つの別々の物理ホスト上に 2 つの VM を作成して上記のサブネットに接続します。Create two VMs on two separate physical hosts, and connect them to the above subnet. 詳細については、こちらを参照してくださいLearn more.

  5. テナント VM が配置されている 2 つのホストの 2 つのネットワーク インターフェイスにパケット スニッフィング アプリケーションを追加します。Attach any packet sniffing application on the two network interfaces of the two hosts, where the tenant VMs are placed.

  6. 2 つのホスト間でトラフィック、ping、HTTP またはその他のパケットを送信し、パケット スニッフィング アプリケーションでパケットを確認します。Send traffic, ping, HTTP or any other packets, between the two hosts and check the packets in the packet sniffing application. これらのパケットには、HTTP 要求パラメーターのように識別可能なプレーン テキストが含まれないようにしなければいけません。The packets should not have any discernible plaintext like parameters of an HTTP request.