Ağ Denetleyicisinin Güvenliğini Sağlama
Şunlar için geçerlidir: Azure Stack HCI, sürüm 23H2 ve 22H2; Windows Server 2022, Windows Server 2019, Windows Server 2016
Bu makalede , Ağ Denetleyicisi ile diğer yazılım ve cihazlar arasındaki tüm iletişimler için güvenliğin nasıl yapılandırıldığı açıklanır.
Güvenlik altına alabilirsiniz iletişim yolları yönetim düzleminde Northbound iletişimini, bir kümedeki Ağ Denetleyicisi sanal makineleri (VM' ler) arasında küme iletişimini ve veri düzleminde Southbound iletişimini içerir.
Northbound İletişimi. Ağ Denetleyicisi, Windows PowerShell ve System Center Virtual Machine Manager (SCVMM) gibi SDN özellikli yönetim yazılımları ile yönetim düzleminde iletişim kurar. Bu yönetim araçları size ağ ilkesi tanımlama ve ağ için bir hedef durumu oluşturma olanağı sağlar. Gerçek yapılandırmayı hedef durumla eşliğe getirmek için gerçek ağ yapılandırmasını karşılaştırabilirsiniz.
Ağ Denetleyicisi Küme İletişimi. Ağ Denetleyicisi küme düğümü olarak üç veya daha fazla VM yapılandırdığınızda, bu düğümler birbirleriyle iletişim kurar. Bu iletişim, düğümler arasında verilerin eşitlenmesi ve çoğaltılmasıyla veya Ağ Denetleyicisi hizmetleri arasındaki belirli iletişimle ilgili olabilir.
GüneyDene İletişim. Ağ Denetleyicisi SDN altyapısı ve yazılım yük dengeleyicileri, ağ geçitleri ve konak makineleri gibi diğer cihazlarla veri düzleminde iletişim kurar. Ağ için yapılandırdığınız hedef durumunu korumaları için bu güneye giden cihazları yapılandırmak ve yönetmek için Ağ Denetleyicisi'ni kullanabilirsiniz.
Kuzeye Giden İletişim
Ağ Denetleyicisi Northbound iletişimi için kimlik doğrulama, yetkilendirme ve şifrelemeyi destekler. Aşağıdaki bölümlerde bu güvenlik ayarlarını yapılandırma hakkında bilgi sağlanır.
Kimlik Doğrulaması
Ağ Denetleyicisi Northbound iletişimi için kimlik doğrulamasını yapılandırdığınızda, Ağ Denetleyicisi küme düğümlerinin ve yönetim istemcilerinin iletişimde oldukları cihazın kimliğini doğrulamasına izin verirsiniz.
Ağ Denetleyicisi, yönetim istemcileri ile Ağ Denetleyicisi düğümleri arasında aşağıdaki üç kimlik doğrulama modunu destekler.
Not
Ağ Denetleyicisi'ni System Center Virtual Machine Manager ile dağıtıyorsanız, yalnızca Kerberos modu desteklenir.
Kerberos. Hem yönetim istemcisini hem de tüm Ağ Denetleyicisi küme düğümlerini bir Active Directory etki alanına eklerken Kerberos kimlik doğrulamasını kullanın. Active Directory etki alanında kimlik doğrulaması için kullanılan etki alanı hesapları olmalıdır.
X509. Active Directory etki alanına katılmamış yönetim istemcileri için sertifika tabanlı kimlik doğrulaması için X509 kullanın. Sertifikaları tüm Ağ Denetleyicisi küme düğümlerine ve yönetim istemcilerine kaydetmeniz gerekir. Ayrıca, tüm düğümler ve yönetim istemcileri birbirlerinin sertifikalarına güvenmelidir.
Yok. Bir test ortamında test amacıyla Hiçbiri kullanın ve bu nedenle üretim ortamında kullanılması önerilmez. Bu modu seçtiğinizde düğümler ve yönetim istemcileri arasında kimlik doğrulaması yapılmaz.
ClientAuthentication parametresiyle Install-NetworkController Windows PowerShell komutunu kullanarak Northbound iletişimi için Kimlik Doğrulama modunu yapılandırabilirsiniz.
Yetkilendirme
Ağ Denetleyicisi Northbound iletişimi için yetkilendirmeyi yapılandırdığınızda, Ağ Denetleyicisi küme düğümlerinin ve yönetim istemcilerinin iletişimde bulundukları cihaza güvenildiğini ve iletişime katılma izni olduğunu doğrulamasına izin verirsiniz.
Ağ Denetleyicisi tarafından desteklenen kimlik doğrulama modlarının her biri için aşağıdaki yetkilendirme yöntemlerini kullanın.
Kerberos. Kerberos kimlik doğrulama yöntemini kullanırken, Active Directory'de bir güvenlik grubu oluşturup yetkili kullanıcıları ve bilgisayarları gruba ekleyerek Ağ Denetleyicisi ile iletişim kurmak için yetkilendirilmiş kullanıcıları ve bilgisayarları tanımlarsınız. Install-NetworkController Windows PowerShell komutunun ClientSecurityGroup parametresini kullanarak Ağ Denetleyicisi'ni yetkilendirme için güvenlik grubunu kullanacak şekilde yapılandırabilirsiniz. Ağ Denetleyicisi'ni yükledikten sonra, -ClientSecurityGroup parametresiyle Set-NetworkController komutunu kullanarak güvenlik grubunu değiştirebilirsiniz. SCVMM kullanıyorsanız, dağıtım sırasında güvenlik grubunu parametre olarak sağlamanız gerekir.
X509. X509 kimlik doğrulama yöntemini kullanırken, Ağ Denetleyicisi yalnızca sertifika parmak izleri Ağ Denetleyicisi tarafından bilinen yönetim istemcilerinden gelen istekleri kabul eder. Install-NetworkController Windows PowerShell komutunun ClientCertificateThumbprint parametresini kullanarak bu parmak izlerini yapılandırabilirsiniz. İstediğiniz zaman Set-NetworkController komutunu kullanarak diğer istemci parmak izlerini ekleyebilirsiniz.
Yok. Bu modu seçtiğinizde düğümler ve yönetim istemcileri arasında kimlik doğrulaması yapılmaz. Bir test ortamında test amacıyla Hiçbiri kullanın ve bu nedenle üretim ortamında kullanılması önerilmez.
Şifreleme
Kuzeye giden iletişim, yönetim istemcileri ile Ağ Denetleyicisi düğümleri arasında şifrelenmiş bir kanal oluşturmak için Güvenli Yuva Katmanı (SSL) kullanır. Northbound iletişimi için SSL şifrelemesi aşağıdaki gereksinimleri içerir:
Tüm Ağ Denetleyicisi düğümleri, Gelişmiş Anahtar Kullanımı (EKU) uzantılarında Sunucu Kimlik Doğrulaması ve İstemci Kimlik Doğrulaması amaçlarını içeren aynı sertifikaya sahip olmalıdır.
Yönetim istemcileri tarafından Ağ Denetleyicisi ile iletişim kurmak için kullanılan URI, sertifika konu adı olmalıdır. Sertifika konu adı, Tam Etki Alanı Adı (FQDN) veya Ağ Denetleyicisi REST Uç Noktasının IP adresini içermelidir.
Ağ Denetleyicisi düğümleri farklı alt ağlardaysa, sertifikalarının konu adı Install-NetworkController Windows PowerShell komutundaki RestName parametresi için kullanılan değerle aynı olmalıdır.
Tüm yönetim istemcileri SSL sertifikasına güvenmelidir.
SSL Sertifikası Kaydı ve Yapılandırması
SSL sertifikasını Ağ Denetleyicisi düğümlerine el ile kaydetmeniz gerekir.
Sertifika kaydedildikten sonra, Ağ Denetleyicisi'ni Install-NetworkController Windows PowerShell komutunun -ServerCertificate parametresiyle sertifikayı kullanacak şekilde yapılandırabilirsiniz. Ağ Denetleyicisi'ni zaten yüklediyseniz, Set-NetworkController komutunu kullanarak yapılandırmayı istediğiniz zaman güncelleştirebilirsiniz.
Not
SCVMM kullanıyorsanız sertifikayı kitaplık kaynağı olarak eklemeniz gerekir. Daha fazla bilgi için bkz. VMM dokusunda SDN ağ denetleyicisi ayarlama.
Ağ Denetleyicisi Küme İletişimi
Ağ Denetleyicisi, Ağ Denetleyicisi düğümleri arasındaki iletişim için kimlik doğrulama, yetkilendirme ve şifrelemeyi destekler. İletişim , Windows Communication Foundation (WCF) ve TCP üzerinden yapılır.
Bu modu Install-NetworkControllerCluster Windows PowerShell komutunun ClusterAuthentication parametresiyle yapılandırabilirsiniz.
Daha fazla bilgi için bkz . Install-NetworkControllerCluster.
Kimlik Doğrulaması
Ağ Denetleyicisi Kümesi iletişimi için kimlik doğrulamasını yapılandırdığınızda, Ağ Denetleyicisi küme düğümlerinin iletişimde oldukları diğer düğümlerin kimliğini doğrulamasına izin verirsiniz.
Ağ Denetleyicisi, Ağ Denetleyicisi düğümleri arasında aşağıdaki üç kimlik doğrulama modunu destekler.
Not
Ağ Denetleyicisi'ni SCVMM kullanarak dağıtırsanız, yalnızca Kerberos modu desteklenir.
Kerberos. Tüm Ağ Denetleyicisi küme düğümleri, kimlik doğrulaması için kullanılan etki alanı hesaplarıyla bir Active Directory etki alanına katıldığında Kerberos kimlik doğrulamasını kullanabilirsiniz.
X509. X509, sertifika tabanlı kimlik doğrulamasıdır. Ağ Denetleyicisi küme düğümleri bir Active Directory etki alanına katılmadığında X509 kimlik doğrulamasını kullanabilirsiniz. X509 kullanmak için sertifikaları tüm Ağ Denetleyicisi küme düğümlerine kaydetmeniz ve tüm düğümlerin sertifikalara güvenmesi gerekir. Ayrıca, her düğüme kaydedilen sertifikanın konu adı düğümün DNS adıyla aynı olmalıdır.
Yok. Bu modu seçtiğinizde, Ağ Denetleyicisi düğümleri arasında kimlik doğrulaması yapılmaz. Bu mod yalnızca test amacıyla sağlanır ve üretim ortamında kullanılması önerilmez.
Yetkilendirme
Ağ Denetleyicisi Kümesi iletişimi için yetkilendirmeyi yapılandırdığınızda, Ağ Denetleyicisi küme düğümlerinin iletişimde bulundukları düğümlere güvenildiğini ve iletişime katılma izni olduğunu doğrulamasına izin verirsiniz.
Ağ Denetleyicisi tarafından desteklenen kimlik doğrulama modlarının her biri için aşağıdaki yetkilendirme yöntemleri kullanılır.
Kerberos. Ağ Denetleyicisi düğümleri yalnızca diğer Ağ Denetleyicisi makine hesaplarından gelen iletişim isteklerini kabul eder. Ağ Denetleyicisi'ni dağıtırken New-NetworkControllerNodeObject Windows PowerShell komutunun Name parametresini kullanarak bu hesapları yapılandırabilirsiniz.
X509. Ağ Denetleyicisi düğümleri yalnızca diğer Ağ Denetleyicisi makine hesaplarından gelen iletişim isteklerini kabul eder. Ağ Denetleyicisi'ni dağıtırken New-NetworkControllerNodeObject Windows PowerShell komutunun Name parametresini kullanarak bu hesapları yapılandırabilirsiniz.
Yok. Bu modu seçtiğinizde, Ağ Denetleyicisi düğümleri arasında yetkilendirme gerçekleştirilmez. Bu mod yalnızca test amacıyla sağlanır ve üretim ortamında kullanılması önerilmez.
Şifreleme
Ağ Denetleyicisi düğümleri arasındaki iletişim WCF Aktarım düzeyi şifrelemesi kullanılarak şifrelenir. Kimlik doğrulama ve yetkilendirme yöntemleri Kerberos veya X509 sertifikaları olduğunda bu şifreleme biçimi kullanılır. Daha fazla bilgi için, aşağıdaki konulara bakın.
- Nasıl yapılır: Windows Kimlik Bilgileri ile Bir Hizmeti Güvenli Hale Getirme
- Nasıl yapılır: X.509 Sertifikaları ile Bir Hizmetin Güvenliğini Sağlama.
GüneyDene İletişim
Ağ Denetleyicisi, Southbound iletişimi için farklı cihaz türleriyle etkileşim kurar. Bu etkileşimler farklı protokoller kullanır. Bu nedenle, ağ denetleyicisi tarafından cihazla iletişim kurmak için kullanılan cihaz ve protokol türüne bağlı olarak kimlik doğrulaması, yetkilendirme ve şifreleme için farklı gereksinimler vardır.
Aşağıdaki tablo, farklı güneye giden cihazlarla Ağ Denetleyicisi etkileşimi hakkında bilgi sağlar.
Güneye giden cihaz/hizmet | Protokol | Kullanılan kimlik doğrulaması |
---|---|---|
Yazılım Yük Dengeleyici | WCF (MUX), TCP (Ana Bilgisayar) | Sertifikalar |
Güvenlik Duvarı | OVSDB | Sertifikalar |
Ağ geçidi | WinRM | Kerberos, Sertifikalar |
Sanal Ağ | OVSDB, WCF | Sertifikalar |
Kullanıcı tanımlı yönlendirme | OVSDB | Sertifikalar |
Bu protokollerin her biri için iletişim mekanizması aşağıdaki bölümde açıklanmıştır.
Kimlik Doğrulaması
Southbound iletişimi için aşağıdaki protokoller ve kimlik doğrulama yöntemleri kullanılır.
WCF/TCP/OVSDB. Bu protokoller için kimlik doğrulaması X509 sertifikaları kullanılarak gerçekleştirilir. Hem Ağ Denetleyicisi hem de eş Yazılım Yük Dengeleme (SLB) Çoklayıcı (MUX)/konak makineleri karşılıklı kimlik doğrulaması için sertifikalarını birbirlerine sunar. Her sertifikaya uzak eş tarafından güvenilmelidir.
Güneye giden kimlik doğrulaması için, Northbound istemcileriyle iletişimi şifrelemek için yapılandırılan ssl sertifikasını kullanabilirsiniz. SLB MUX ve konak cihazlarında da bir sertifika yapılandırmanız gerekir. Sertifika konu adı, cihazın DNS adıyla aynı olmalıdır.
WinRM. Bu protokol için kimlik doğrulaması Kerberos (etki alanına katılmış makineler için) ve sertifikalar (etki alanına katılmamış makineler için) kullanılarak gerçekleştirilir.
Yetkilendirme
Southbound iletişimi için aşağıdaki protokoller ve yetkilendirme yöntemleri kullanılır.
WCF/TCP. Bu protokoller için yetkilendirme, eş varlığın konu adını temel alır. Ağ Denetleyicisi eş cihaz DNS adını depolar ve yetkilendirme için kullanır. Bu DNS adı, sertifikadaki cihazın konu adıyla eşleşmelidir. Benzer şekilde, Ağ Denetleyicisi sertifikası da eş cihazda depolanan Ağ Denetleyicisi DNS adıyla eşleşmelidir.
WinRM. Kerberos kullanılıyorsa, WinRM istemci hesabı Active Directory'de önceden tanımlanmış bir grupta veya sunucudaki Yerel Yöneticiler grubunda bulunmalıdır. Sertifikalar kullanılıyorsa, istemci sunucunun konu adını/vereni kullanarak yetkilendirdiğini sunucuya bir sertifika sunar ve sunucu kimlik doğrulamasını gerçekleştirmek için eşlenmiş bir kullanıcı hesabı kullanır.
OVSDB. Yetkilendirme, eş varlığın konu adını temel alır. Ağ Denetleyicisi eş cihaz DNS adını depolar ve yetkilendirme için kullanır. Bu DNS adı, sertifikadaki cihazın konu adıyla eşleşmelidir.
Şifreleme
Southbound iletişimi için protokoller için aşağıdaki şifreleme yöntemleri kullanılır.
WCF/TCP/OVSDB. Bu protokoller için şifreleme, istemciye veya sunucuya kaydedilen sertifika kullanılarak gerçekleştirilir.
WinRM. WinRM trafiği varsayılan olarak Kerberos güvenlik destek sağlayıcısı (SSP) kullanılarak şifrelenir. WinRM sunucusunda SSL biçiminde Ek şifreleme yapılandırabilirsiniz.