Compartilhar via

Configurar criptografia vSAN para sua Nuvem Privada da CloudSimple

  • Artigo

Você pode configurar o recurso de criptografia de software vSAN para que sua Nuvem Privada da CloudSimple possa trabalhar com um servidor de gerenciamento de chaves em execução na sua rede virtual do Azure.

A VMware requer o uso de uma ferramenta de servidor de gerenciamento de chaves (KMS) de terceiros compatível com KMIP 1.1 ao usar a criptografia vSAN. Você pode aproveitar qualquer KMS com suporte que seja certificado pelo VMware e esteja disponível para o Azure.

Este guia descreve como usar o KMS HyTrust KeyControl em execução em uma rede virtual do Azure. Uma abordagem semelhante pode ser usada para qualquer outra solução de KMS de terceiros certificada para vSAN.

Essa solução de KMS exige que você:

  • Instale, configure e gerencie uma ferramenta de KMS de terceiros certificada pela VMware em sua rede virtual do Azure.
  • Forneça suas próprias licenças para a ferramenta de KMS.
  • Configure e gerencie a criptografia vSAN em sua nuvem privada usando a ferramenta de KMS de terceiros em execução na rede virtual do Azure.

Cenário de implantação de KMS

O cluster do servidor KMS é executado na rede virtual do Azure e pode ser acessível por IP pela Nuvem Privada vCenter sobre a conexão do Azure ExpressRoute configurada.

../media/KMS cluster na rede virtual do Azure

Como implantar a solução

O processo de implantação tem as seguintes etapas:

  1. Verificar se os pré-requisitos foram atendidos
  2. Portal da CloudSimple: obter informações de Emparelhamento do ExpressRoute
  3. Portal do Azure: conectar sua rede virtual à Nuvem Privada
  4. Portal do Azure: implantar um Cluster HyTrust KeyControl em sua rede virtual
  5. IU da Web do HyTrust: configurar o servidor KMIP
  6. Interface do usuário do vCenter: configurar a criptografia vSAN para usar o cluster KMS na rede virtual do Azure

Verificar se os pré-requisitos foram atendidos

Verifique o seguinte antes da implantação:

  • O fornecedor, a ferramenta e a versão do KMS selecionados estão na lista de compatibilidade de vSAN.
  • O fornecedor selecionado dá suporte a uma versão da ferramenta para execução no Azure.
  • A versão do Azure da ferramenta de KMS é compatível com KMIP 1.1.
  • Um Azure Resource Manager e uma rede virtual já foram criados.
  • Uma Nuvem Privada da CloudSimple já foi criada.

Portal da CloudSimple: obter informações de emparelhamento do ExpressRoute

Para continuar a configuração, você precisa da chave de autorização e do URI do circuito de par para ExpressRoute, além de acesso à sua Assinatura do Azure. Essas informações estão disponíveis na página Conexão de Rede Virtual no portal da CloudSimple. Para obter instruções, consulte, Configurar uma conexão de rede virtual com a Nuvem Privada. Se você tiver problemas para obter as informações, abra uma solicitação de suporte.

Portal do Azure: conectar a rede virtual do Azure à Nuvem Privada

  1. Crie um gateway de rede virtual para sua rede virtual seguindo as instruções em Configurar um gateway de rede virtual para ExpressRoute usando o portal do Azure.
  2. Vincule sua rede virtual ao circuito do ExpressRoute da CloudSimple seguindo as instruções em Conectar uma rede virtual a um circuito do ExpressRoute usando o portal.
  3. Use as informações de circuito do ExpressRoute da CloudSimple recebidas em seu email de boas-vindas à CloudSimple para vincular sua rede virtual ao circuito do ExpressRoute da CloudSimple no Azure.
  4. Insira a chave de autorização e o URI do circuito de par, nomeie a conexão e clique em OK.

Fornecer o URI do circuito de par da CS ao criar a rede virtual

Portal do Azure: implantar um cluster HyTrust KeyControl no Azure Resource Manager em sua rede virtual

Para implantar um cluster HyTrust KeyControl no Azure Resource Manager na rede virtual, execute as tarefas a seguir. Consulte a documentação do HyTrust para saber mais detalhes.

  1. Crie um grupo de segurança de rede do Azure (nsg-hytrust) com regras de entrada especificadas seguindo as instruções na documentação do HyTrust.
  2. Gere um par de chaves SSH no Azure.
  3. Implante o nó KeyControl inicial a partir da imagem no Azure Marketplace. Use a chave pública do par de chaves que foi gerado e selecione nsg-hytrust como o grupo de segurança de rede para o nó KeyControl.
  4. Converta o endereço IP privado do KeyControl em um endereço IP estático.
  5. SSH para a VM do KeyControl usando seu endereço IP público e a chave privada do par de chaves mencionado anteriormente.
  6. Quando solicitado no Shell SSH, selecione No para definir o nó como o nó KeyControl inicial.
  7. Adicione nós KeyControl adicionais repetindo as etapas de 3 a 5 deste procedimento e selecionando Yes quando solicitado a adicionar a um cluster existente.

IU da Web do HyTrust: configurar o servidor KMIP

Acesse https://public-ip, onde public-ip é o endereço IP público da VM do nó KeyControl. Siga estas etapas da documentação do HyTrust.

  1. Configurar um servidor KMIP
  2. Criar um Pacote de Certificado para Criptografia VMware

Interface do usuário do vCenter: configurar a criptografia vSAN para usar o cluster KMS na rede virtual do Azure

Siga as instruções de HyTrust para Criar um cluster KMS no vCenter.

Adicionar detalhes do cluster KMS no vCenter

No vCenter, vá até Cluster > Configurar e selecione a opção Geral para vSAN. Habilite a criptografia e selecione o cluster KMS que foi adicionado ao vCenter anteriormente.

Habilitar a criptografia vSAN e configurar o cluster KMS no vCenter

Referências

Azure

Configurar um gateway de rede virtual para ExpressRoute usando o portal do Azure

Conectar uma rede virtual a um circuito ExpressRoute usando o portal

HyTrust

HyTrust DataControl e Microsoft Azure

Configurar um Servidor KMPI

Criar um Pacote de Certificado para Criptografia VMware

Criar o Cluster KMS no vSphere