Konfigurowanie szyfrowania sieci vSAN dla chmury prywatnej CloudSimple

Funkcję szyfrowania oprogramowania vSAN można skonfigurować, aby chmura prywatna CloudSimple mogła współpracować z serwerem zarządzania kluczami działającymi w sieci wirtualnej platformy Azure.

Program VMware wymaga użycia zewnętrznego narzędzia do zarządzania kluczami (KMS) zgodnego z usługą KMIP 1.1 podczas korzystania z szyfrowania vSAN. Możesz skorzystać z dowolnej obsługiwanej usługi KMS certyfikowanej przez oprogramowanie VMware i dostępnej dla platformy Azure.

W tym przewodniku opisano sposób używania rozwiązania HyTrust KeyControl KMS działającego w sieci wirtualnej platformy Azure. Podobne podejście może być stosowane w przypadku dowolnego innego certyfikowanego rozwiązania KMS innej firmy dla oprogramowania vSAN.

To rozwiązanie usługi KMS wymaga:

• Instalowanie, konfigurowanie i zarządzanie certyfikowanym narzędziem KMS innej firmy VMware w sieci wirtualnej platformy Azure.
• Podaj własne licencje dla narzędzia KMS.
• Konfigurowanie szyfrowania sieci vSAN w chmurze prywatnej i zarządzanie nim przy użyciu narzędzia KMS innej firmy działającego w sieci wirtualnej platformy Azure.

Scenariusz wdrażania usługi KMS

Klaster serwera usługi KMS działa w sieci wirtualnej platformy Azure i jest dostępny z poziomu centrum vCenter chmury prywatnej za pośrednictwem skonfigurowanego połączenia usługi Azure ExpressRoute.

Jak wdrożyć rozwiązanie

Proces wdrażania ma następujące kroki:

1. Sprawdź, czy zostały spełnione wymagania wstępne
2. Portal CloudSimple: uzyskiwanie informacji o komunikacji równorzędnej usługi ExpressRoute
3. Azure Portal: łączenie sieci wirtualnej z chmurą prywatną
4. Azure Portal: wdrażanie klastra HyTrust KeyControl w sieci wirtualnej
5. HyTrust WebUI: Konfigurowanie serwera KMIP
6. Interfejs użytkownika programu vCenter: konfigurowanie szyfrowania vSAN do używania klastra KMS w sieci wirtualnej platformy Azure

Sprawdzanie, czy spełniono wymagania wstępne

Przed wdrożeniem sprawdź następujące kwestie:

• Wybrany dostawca usługi KMS, narzędzie i wersja znajdują się na liście zgodności oprogramowania vSAN.
• Wybrany dostawca obsługuje wersję narzędzia do uruchomienia na platformie Azure.
• Wersja narzędzia KMS na platformie Azure jest zgodna ze standardem KMIP 1.1.
• Utworzono już Resource Manager platformy Azure i sieć wirtualną.
• Chmura prywatna CloudSimple została już utworzona.

Portal CloudSimple: uzyskiwanie informacji o komunikacji równorzędnej usługi ExpressRoute

Aby kontynuować konfigurację, musisz mieć klucz autoryzacji i identyfikator URI obwodu równorzędnego dla usługi ExpressRoute oraz dostęp do subskrypcji platformy Azure. Te informacje są dostępne na stronie połączenie Virtual Network w portalu CloudSimple. Aby uzyskać instrukcje, zobacz Konfigurowanie połączenia sieci wirtualnej z chmurą prywatną. Jeśli masz problemy z uzyskaniem informacji, otwórz wniosek o pomoc techniczną.

Azure Portal: Łączenie sieci wirtualnej z chmurą prywatną

1. Utwórz bramę sieci wirtualnej dla sieci wirtualnej, postępując zgodnie z instrukcjami w temacie Konfigurowanie bramy sieci wirtualnej dla usługi ExpressRoute przy użyciu Azure Portal.
2. Połącz sieć wirtualną z obwodem usługi ExpressRoute CloudSimple, postępując zgodnie z instrukcjami w temacie Łączenie sieci wirtualnej z obwodem usługi ExpressRoute przy użyciu portalu.
3. Użyj informacji o obwodzie usługi ExpressRoute cloudSimple odebranych w powitalnej wiadomości e-mail z usługi CloudSimple z usługi CloudSimple, aby połączyć sieć wirtualną z obwodem usługi ExpressRoute CloudSimple na platformie Azure.
4. Wprowadź klucz autoryzacji i identyfikator URI obwodu równorzędnego, nadaj połączeniu nazwę, a następnie kliknij przycisk OK.

Azure Portal: wdrażanie klastra HyTrust KeyControl w usłudze Azure Resource Manager w sieci wirtualnej

Aby wdrożyć klaster HyTrust KeyControl w usłudze Azure Resource Manager w sieci wirtualnej, wykonaj następujące zadania. Aby uzyskać szczegółowe informacje, zobacz dokumentację hytrust .

1. Utwórz sieciową grupę zabezpieczeń platformy Azure (nsg-hytrust) z określonymi regułami ruchu przychodzącego, postępując zgodnie z instrukcjami w dokumentacji hytrust.
2. Wygeneruj parę kluczy SSH na platformie Azure.
3. Wdróż początkowy węzeł KeyControl z obrazu w Azure Marketplace. Użyj klucza publicznego pary kluczy, która została wygenerowana, i wybierz pozycję nsg-hytrust jako sieciową grupę zabezpieczeń dla węzła KeyControl.
4. Przekonwertuj prywatny adres IP keyControl na statyczny adres IP.
5. Połącz się za pomocą protokołu SSH z maszyną wirtualną KeyControl przy użyciu jego publicznego adresu IP i klucza prywatnego wymienionej wcześniej pary kluczy.
6. Po wyświetleniu monitu w powłoce SSH wybierz No , aby ustawić węzeł jako początkowy węzeł KeyControl.
7. Dodaj dodatkowe węzły KeyControl, powtarzając kroki 3–5 tej procedury i wybierając Yes po wyświetleniu monitu o dodanie do istniejącego klastra.

HyTrust WebUI: konfigurowanie serwera KMIP

Przejdź do https:// public-ip, gdzie public-ip jest publicznym adresem IP maszyny wirtualnej węzła KeyControl. Wykonaj następujące kroki z dokumentacji firmy HyTrust.

1. Konfigurowanie serwera KMIP
2. Tworzenie pakietu certyfikatów dla szyfrowania VMware

Interfejs użytkownika programu vCenter: konfigurowanie szyfrowania vSAN do używania klastra KMS w sieci wirtualnej platformy Azure

Postępuj zgodnie z instrukcjami hytrust, aby utworzyć klaster usługi KMS w programie vCenter.

W programie vCenter przejdź do pozycji Konfiguracja klastra > i wybierz opcję Ogólne dla oprogramowania vSAN. Włącz szyfrowanie i wybierz klaster usługi KMS, który został wcześniej dodany do programu vCenter.

Odwołania

Azure

Konfigurowanie bramy sieci wirtualnej dla usługi ExpressRoute przy użyciu Azure Portal

Nawiązywanie połączenia sieci wirtualnej z obwodem usługi ExpressRoute za pomocą witryny Portal

HyTrust

HyTrust DataControl i Microsoft Azure

Konfigurowanie serwera KMPI

Tworzenie pakietu certyfikatów dla szyfrowania VMware

Tworzenie klastra usługi KMS w środowisku vSphere