Sdílet prostřednictvím

Konfigurace šifrování vSAN pro privátní cloud CloudSimple

  • Článek

Funkci softwarového šifrování vSAN můžete nakonfigurovat tak, aby váš privátní cloud CloudSimple mohl pracovat se serverem pro správu klíčů spuštěným ve vaší virtuální síti Azure.

Při použití šifrování vSAN vyžaduje VMware použití externího nástroje serveru správy klíčů (KMS) kompatibilního se službou KMIP 1.1. Můžete využít jakoukoli podporovanou službu Správy klíčů, která je certifikovaná společností VMware a je k dispozici pro Azure.

Tato příručka popisuje, jak používat službu správy klíčů HyTrust KeyControl spuštěnou ve virtuální síti Azure. Podobný přístup lze použít pro jakékoli jiné certifikované řešení Služby správy klíčů třetích stran pro vSAN.

Toto řešení Služby správy klíčů vyžaduje:

  • Nainstalujte, nakonfigurujte a spravujte nástroj Služby správy klíčů certifikovaný pro VMware ve virtuální síti Azure.
  • Zadejte vlastní licence pro nástroj KmS.
  • Nakonfigurujte a spravujte šifrování vSAN ve vašem privátním cloudu pomocí nástroje Služby správy klíčů třetí strany, který běží ve vaší virtuální síti Azure.

Scénář nasazení Služby správy klíčů

Cluster serveru KmS běží ve vaší virtuální síti Azure a je dostupný přes nakonfigurované připojení Azure ExpressRoute z vCenter privátního cloudu.

.. Cluster /media/KmS ve virtuální síti Azure

Postup nasazení řešení

Proces nasazení má následující kroky:

  1. Ověření splnění požadavků
  2. Portál CloudSimple: Získání informací o partnerském vztahu ExpressRoute
  3. Azure Portal: Připojení virtuální sítě k privátnímu cloudu
  4. Azure Portal: Nasazení clusteru HyTrust KeyControl ve virtuální síti
  5. HyTrust WebUI: Konfigurace serveru KMIP
  6. Uživatelské rozhraní vCenter: Konfigurace šifrování vSAN pro použití clusteru KmS ve virtuální síti Azure

Ověření splnění požadavků

Před nasazením ověřte následující:

  • Vybraný dodavatel, nástroj a verze Služby správy klíčů jsou v seznamu kompatibility vSAN.
  • Vybraný dodavatel podporuje verzi nástroje, která se má spustit v Azure.
  • Verze nástroje Služby správy klíčů v Azure je kompatibilní se standardem KMIP 1.1.
  • Resource Manager Azure a virtuální síť jsou už vytvořené.
  • Privátní cloud CloudSimple je už vytvořený.

Portál CloudSimple: Získání informací o partnerském vztahu ExpressRoute

Pokud chcete pokračovat v instalaci, potřebujete autorizační klíč a identifikátor URI partnerského okruhu pro ExpressRoute a přístup k předplatnému Azure. Tyto informace jsou k dispozici na stránce připojení Virtual Network na portálu CloudSimple. Pokyny najdete v tématu Nastavení připojení virtuální sítě k privátnímu cloudu. Pokud máte potíže se získáním informací, otevřete žádost o podporu.

Azure Portal: Připojení virtuální sítě k privátnímu cloudu

  1. Vytvořte bránu virtuální sítě pro virtuální síť podle pokynů v tématu Konfigurace brány virtuální sítě pro ExpressRoute pomocí Azure Portal.
  2. Propojte virtuální síť s okruhem ExpressRoute CloudSimple podle pokynů v tématu Připojení virtuální sítě k okruhu ExpressRoute pomocí portálu.
  3. K propojení virtuální sítě s okruhem CloudSimple ExpressRoute v Azure použijte informace o okruhu ExpressRoute CloudSimple přijaté v uvítacím e-mailu od CloudSimple.
  4. Zadejte autorizační klíč a identifikátor URI partnerského okruhu, pojmenujte připojení a klikněte na OK.

Zadání identifikátoru URI partnerského okruhu CS při vytváření virtuální sítě

Azure Portal: Nasazení clusteru HyTrust KeyControl v Azure Resource Manager ve vaší virtuální síti

Pokud chcete nasadit cluster HyTrust KeyControl v Azure Resource Manager ve vaší virtuální síti, proveďte následující úlohy. Podrobnosti najdete v dokumentaci k HyTrust .

  1. Podle pokynů v dokumentaci k HyTrust vytvořte skupinu zabezpečení sítě Azure (nsg-hytrust) se zadanými příchozími pravidly.
  2. Vygenerujte pár klíčů SSH v Azure.
  3. Nasaďte počáteční uzel KeyControl z image v Azure Marketplace. Použijte veřejný klíč vygenerovaného páru klíčů a jako skupinu zabezpečení sítě pro uzel KeyControl vyberte nsg-hytrust .
  4. Převeďte privátní IP adresu KeyControl na statickou IP adresu.
  5. SSH k virtuálnímu počítači KeyControl pomocí jeho veřejné IP adresy a privátního klíče výše uvedeného páru klíčů.
  6. Po zobrazení výzvy v prostředí SSH vyberte No a nastavte uzel jako počáteční uzel KeyControl.
  7. Přidejte další uzly KeyControl opakováním kroků 3 až 5 tohoto postupu a výběrem Yes při zobrazení výzvy k přidání do existujícího clusteru.

HyTrust WebUI: Konfigurace serveru KMIP

Přejděte na https:// public-ip, kde public-ip je veřejná IP adresa virtuálního počítače uzlu KeyControl. Postupujte podle těchto kroků v dokumentaci k HyTrust.

  1. Konfigurace serveru KMIP
  2. Vytvoření sady certifikátů pro šifrování VMware

Uživatelské rozhraní vCenter: Konfigurace šifrování vSAN pro použití clusteru KmS ve virtuální síti Azure

Postupujte podle pokynů HyTrust k vytvoření clusteru KmS ve vCenter.

Přidání podrobností o clusteru Služby správy klíčů ve vCenter

Na vCenter přejděte na Konfigurace clusteru > a vyberte Možnost Obecné pro vSAN. Povolte šifrování a vyberte cluster Služby správy klíčů, který byl dříve přidán do vCenter.

Povolení šifrování vSAN a konfigurace clusteru Služby správy klíčů ve vCenter

Reference

Azure

Konfigurace brány virtuální sítě pro ExpressRoute pomocí Azure Portal

Připojení virtuální sítě k okruhu ExpressRoute pomocí portálu

HyTrust

HyTrust DataControl a Microsoft Azure

Konfigurace serveru KMPI

Vytvoření sady certifikátů pro šifrování VMware

Vytvoření clusteru Služby správy klíčů ve vSphere