다음을 통해 공유

CloudSimple 프라이빗 클라우드에 대한 vSAN 암호화 구성

  • 아티클

CloudSimple 프라이빗 클라우드가 Azure Virtual Network에서 실행되는 키 관리 서버와 함께 작동할 수 있도록 vSAN 소프트웨어 암호화 기능을 구성할 수 있습니다.

vSAN 암호화를 사용하는 경우 VMware는 외부 KMIP 1.1 호환 타사 KMS(키 관리 서버) 도구를 사용해야 합니다. VMware에서 인증되고 Azure에 사용할 수 있는 지원되는 모든 KMS를 활용할 수 있습니다.

이 가이드에서는 Azure Virtual Network에서 실행되는 HyTrust KeyControl KMS를 사용하는 방법을 설명합니다. vSAN에 대해 인증된 다른 타사 KMS 솔루션에도 유사한 접근 방식을 사용할 수 있습니다.

이 KMS 솔루션을 사용하려면 다음을 수행해야 합니다.

  • Azure Virtual Network에 VMware 인증 타사 KMS 도구를 설치, 구성 및 관리합니다.
  • KMS 도구에 사용할 사용자 고유의 라이선스를 제공합니다.
  • Azure Virtual Network에서 실행되는 타사 KMS 도구를 사용하여 프라이빗 클라우드에서 vSAN 암호화를 구성하고 관리합니다.

KMS 배포 시나리오

KMS 서버 클러스터는 Azure Virtual Network에서 실행되며, 구성된 Azure ExpressRoute 연결을 통해 프라이빗 클라우드 vCenter에서 연결할 수 있는 IP입니다.

Azure Virtual Network의 ..media/KMS 클러스터

솔루션 배포 방법

배포 프로세스의 단계는 다음과 같습니다.

  1. 필수 구성 요소가 충족되는지 확인
  2. CloudSimple 포털: ExpressRoute 피어링 정보 가져오기
  3. Azure Portal: 프라이빗 클라우드로 가상 네트워크 연결
  4. Azure Portal: 가상 네트워크에서 HyTrust KeyControl 클러스터 배포
  5. HyTrust WebUI: KMIP 서버 구성
  6. vCenter UI: Azure Virtual Network에서 KMS 클러스터를 사용하도록 vSAN 암호화 구성

필수 구성 요소가 충족되는지 확인

배포 전에 다음을 확인합니다.

  • 선택한 KMS 공급업체, 도구 및 버전은 vSAN 호환성 목록에 있습니다.
  • 선택한 공급업체는 Azure에서 실행되는 버전의 도구를 지원합니다.
  • Azure 버전의 KMS 도구는 KMIP 1.1을 준수합니다.
  • Azure Resource Manager 및 가상 네트워크가 이미 생성되었습니다.
  • CloudSimple 프라이빗 클라우드가 이미 만들어졌습니다.

CloudSimple 포털: ExpressRoute 피어링 정보 가져오기

설치를 계속하려면 ExpressRoute용 인증 키 및 피어 회로 URI와 Azure 구독에 대한 액세스 권한이 필요합니다. 이 정보는 CloudSimple 포털의 가상 네트워크 연결 페이지에서 확인할 수 있습니다. 지침은 프라이빗 클라우드에 가상 네트워크 연결 설정을 참조하세요. 정보를 얻는 중에 문제가 있는 경우 지원 요청을 여세요.

Azure Portal: 프라이빗 클라우드로 가상 네트워크 연결

  1. Azure Portal을 사용하여 ExpressRoute에 대한 가상 네트워크 게이트웨이 구성의 지침에 따라 가상 네트워크에 대한 가상 네트워크 게이트웨이를 만듭니다.
  2. 포털을 사용하여 가상 네트워크를 ExpressRoute 회로에 연결의 지침에 따라 CloudSimple ExpressRoute 회로에 가상 네트워크를 연결합니다.
  3. CloudSimple의 환영 메일에서 받은 CloudSimple ExpressRoute 회로 정보를 사용하여 가상 네트워크를 Azure의 CloudSimple ExpressRoute 회로에 연결합니다.
  4. 권한 부여 키 및 피어 회로 URI를 입력하고, 연결에 이름을 지정하고, 확인을 클릭합니다.

가상 네트워크를 만들 때 CS 피어 회로 URI 제공

Azure Portal: 가상 네트워크에서 Azure Resource Manager에 HyTrust KeyControl 클러스터 배포

가상 네트워크에서 Azure Resource Manager에 HyTrust KeyControl 클러스터를 배포하려면 다음 작업을 수행합니다. 자세한 내용은 HyTrust 설명서를 참조하세요.

  1. HyTrust 설명서의 지침에 따라 지정된 인바운드 규칙을 사용하여 Azure 네트워크 보안 그룹(nsg-hytrust)을 만듭니다.
  2. Azure에서 SSH 키 쌍을 생성합니다.
  3. Azure Marketplace에서 이미지의 초기 KeyControl 노드를 배포합니다. 생성된 키 쌍의 공개 키를 사용하고 nsg-trust를 KeyControl 노드에 대한 네트워크 보안 그룹으로 선택합니다.
  4. KeyControl의 개인 IP 주소를 고정 IP 주소로 변환합니다.
  5. 공용 IP 주소와 이전에 언급한 키 쌍의 프라이빗 키를 사용하여 KeyControl VM에 대한 SSH를 사용합니다.
  6. SSH 셸에서 메시지가 표시되면 No를 선택하여 노드를 초기 KeyControl 노드로 설정합니다.
  7. 이 절차의 3-5 단계를 반복하고 Yes를 선택하여 기존 클러스터에 추가하라는 메시지가 표시되면 추가 KeyControl 노드를 추가합니다.

HyTrust WebUI: KMIP 서버 구성

https://public-ip로 이동합니다. 여기서 public-ip는 KeyControl 노드 VM의 공용 IP입니다. HyTrust 설명서에서 다음 단계를 수행합니다.

  1. KMIP 서버 구성
  2. VMware 암호화를 위한 인증서 번들 만들기

vCenter UI: Azure Virtual Network에서 KMS 클러스터를 사용하도록 vSAN 암호화 구성

HyTrust 지침에 따라 vCenter에서 KMS 클러스터를 만듭니다.

vCenter에서 KMS 클러스터 세부 정보 추가

vCenter에서 클러스터 > 구성으로 이동하고 vSAN에 대한 일반 옵션을 선택합니다. 암호화를 사용하도록 설정하고 이전에 vCenter에 추가된 KMS 클러스터를 선택합니다.

vCenter에서 vSAN 암호화를 사용하도록 설정하고 KMS 클러스터 구성

참조

Azure

Azure Portal을 사용하여 ExpressRoute에 대한 가상 네트워크 게이트웨이 구성

포털을 사용하여 ExpressRoute 회로에 가상 네트워크 연결

HyTrust

HyTrust DataControl 및 Microsoft Azure

KMIP 서버 구성

VMware 암호화를 위한 인증서 번들 만들기

vSphere에서 KMS 클러스터 만들기