使用 VMM 在 SDN 中設定加密的網路

  • 發行項

重要

此版本的 Virtual Machine Manager (VMM) 已終止支援。 建議您 升級至 VMM 2022

本文說明如何使用 System Center - Virtual Machine Manager (VMM) ,加密軟體定義網路 (SDN) 中的 VM 網路。

現今的網路流量可以由客體 OS 或應用程式使用 IPSec 和 TLS 等技術來進行加密。 不過,這些技術並不容易實作,這是因為實作本身會為它們帶來與系統間互通性相關的複雜度及挑戰。

使用 VMM 中的加密網路功能,使用者可以運用網路控制站 (NC) 輕鬆地在 VM 網路上設定端對端加密。 此加密可防止相同 VM 網路上的兩部 VM 與相同子網之間的流量被讀取和操作。

VMM 1801 和更新版本支援這項功能。

加密的控制位於子網路層級,並可以針對 VM 網路的每個子網路啟用/停用加密。

此功能是透過 SDN 網路控制站 (NC) 來管理。 如果您還沒有軟體定義網路 (SDN) 基礎結構與 NC,如需詳細資訊,請參閱 部署 SDN

注意

這項功能目前提供來自第三方和網路系統管理員的保護,而且不會提供對網狀架構系統管理員的任何保護。 針對網狀架構系統管理員的保護功能正在開發當中,並即將在近日推出。

開始之前

請確保已符合下列必要條件︰

  • 租使用者 VM 至少要驗證加密的兩部主機。
  • 已啟用加密的 HNV 型 VM 網路和憑證,可由網狀架構管理員建立和散發。

    注意

    憑證及其私鑰必須儲存在該網路) 所在之 VM (所在所有主機的本機證書存儲中。

程序:設定加密的網路

使用下列步驟

  1. 建立憑證,然後將憑證放在您計劃放置租使用者 VM 以進行此驗證之所有主機的本機證書存儲中。

  2. 您可以建立自我簽署憑證,或從 CA 取得憑證。 如需如何產生自我簽署憑證,並將其放在您將使用之每個主機的適當位置的相關信息,請參閱 設定虛擬子網的加密

    注意

    請記下您所產生之憑證的「指紋」。 在上述步驟 2 的文章中,您不需要執行「建立憑證認證」和「設定加密 虛擬網路」中詳述的動作。 您將在下列步驟中使用 VMM 來設定這些設定。

  3. 針對租用戶 VM 連線設定 HNV 提供者網路,它將會由 NC 管理。 深入瞭解

  4. 建立租用戶 VM 網路和子網路。 建立子網路時,請選取 [VM 子網路] 底下的 [啟用加密]深入瞭解

    在下一個步驟中,請貼上您所建立之憑證的指紋。

    網路加密的螢幕快照。

    加密詳細數據的螢幕快照。

  5. 在兩個不同的實體主機上建立兩部 VM,並將其連線到上述子網。 深入瞭解

  6. 將任何封包探查應用程式附加至放置租使用者 VM 之兩部主機的兩個網路介面。

  7. 在兩部主機之間傳送流量、ping、HTTP 或任何其他封包,並檢查封包探查應用程式中的封包。 封包不應該有任何清楚的純文本,例如 HTTP 要求的參數。