使用 VMM 在 SDN 中配置加密网络

  • 项目

重要

此版本的 Virtual Machine Manager (VMM) 已终止支持。 建议 升级到 VMM 2022

本文介绍如何使用 System Center - Virtual Machine Manager (VMM) 加密软件定义的网络 (SDN) 中的 VM 网络。

现在,可以通过来宾操作系统或应用程序并使用 IPSec、TLS 等技术加密网络流量。 但是,由于实现性质、技术固有的复杂性和系统之间互操作性相关的挑战,这些技术难以实现。

在 VMM 中使用加密网络功能,可以通过使用网络控制器 (NC) 在 VM 网络上轻松配置端到端加密。 此加密可防止读取和操作同一 VM 网络和同一子网上的两个 VM 之间的流量。

VMM 1801 及更高版本支持这一功能。

加密控制在子网级别,可以为 VM 网络的每个子网启用/禁用加密。

此功能通过 SDN 网络控制器 (NC) 进行管理。 如果还没有软件定义的网络 (SDN) NC 基础结构,有关详细信息,请参阅 部署 SDN

注意

此功能当前提供针对第三方和网络管理员的保护,不提供任何针对构造管理员的保护。 对构造管理员的访问防护工作正在进行中,将很快推出。

开始之前

请确保满足以下先决条件:

  • 租户 VM 至少两个主机用于验证加密。
  • 基于 HNV 的 VM 网络,启用了加密,并且证书可由构造管理员创建和分发。

    注意

    证书及其私钥必须存储在该网络) VM (所在的所有主机的本地证书存储中。

过程 - 配置加密网络

请使用以下步骤:

  1. 创建一个证书,然后将该证书放置在计划放置租户 VM 的所有主机的本地证书存储中,以便进行此验证。

  2. 你可以创建一个自签名证书或从 CA 获取一个证书。 有关如何生成自签名证书并将其放置在要使用的每个主机的适当位置的信息,请参阅 为虚拟子网配置加密

    注意

    记下生成证书的“指纹”。 在上述文章的步骤 2 中,无需执行“创建证书凭据”和“配置加密虚拟网络”中详述的操作。 将在以下步骤中使用 VMM 配置这些设置。

  3. 为租户虚拟机连接设置一个 HNV 提供商网络,由 NC 进行管理。 了解详细信息

  4. 创建租户虚拟机网络和子网。 创建子网时,请选择“VM 子网”下的“启用加密”了解详细信息

    在下一步中,粘贴你所创建的证书的指纹。

    网络加密的屏幕截图。

    加密详细信息的屏幕截图。

  5. 在两个单独的物理主机上创建两个 VM,并将其连接到上述子网。 了解详细信息

  6. 在两个主机的两个网络接口上附加任何数据包探查应用程序,租户虚拟机就放置在其中。

  7. 在两个主机之间发送流量、ping、HTTP 或任何其他数据包,并在数据包探查应用程序中检查数据包。 数据包不应具有任何明显的纯文本,如 HTTP 请求的参数。