Поделиться через

Настройка шифрования vSAN для частного облака CloudSimple

  • Статья

Вы можете настроить возможность программного шифрования vSAN, чтоб использовать частное облако CloudSimple с любым сервером управления ключами (KMS), работающим в виртуальной сети Azure.

При использовании шифрования vSAN для VMware необходимо использовать внешнее средство KMS с поддержкой стандарта KMIP 1.1. Вы можете использовать любой поддерживаемый сервер управления ключами, который имеет сертификацию VMware и доступен для Azure.

В этом руководство описано, как использовать сервер управления ключами HyTrust KeyControl, работающий в виртуальной сети Azure. Аналогичный подход можно применить для любого другого сертифицированного стороннего решения, предоставляющего сервер управления ключами для vSAN.

Для этого сервера управления ключами потребуется сделать следующее:

  • Установите, настройте в виртуальной сети Azure сертифицированное средство KMS для VMware стороннего поставщика и обеспечьте управление им.
  • Предоставьте собственные лицензии для средства KMS.
  • Настройте шифрование vSAN в частном облаке и управление им с помощью стороннего средства KMS, работающего в виртуальной сети Azure.

Сценарий развертывания KMS

Кластер серверов KMS работает в виртуальной сети Azure и доступен из частного облака vCenter по протоколу IP через настроенное подключение Azure ExpressRoute.

../media/KMS cluster in Azure virtual network

Развертывание решения

Процесс развертывания включает следующие шаги:

  1. Проверка соблюдения предварительных требований.
  2. Получение сведений о пиринге ExpressRoute на портале CloudSimple.
  3. Подключение виртуальной сети к частному облаку на портале Azure.
  4. Развертывание кластера HyTrust KeyControl в виртуальной сети на портале Azure.
  5. Настройка сервера KMIP в веб-интерфейсе HyTrust.
  6. Настройка шифрования vSAN для использования кластера KMS в виртуальной сети Azure через пользовательский интерфейс vCenter.

Проверка соблюдения предварительных требований

Перед развертыванием проверьте следующее:

  • Поставщик, средство и версия KMS входят в список совместимости с vSAN.
  • Выбранный поставщик поддерживает версию средства для запуска в Azure.
  • Версия средства KMS для Azure совместима с KMIP 1.1.
  • Уже созданы экземпляр Azure Resource Manager и виртуальная сеть.
  • Уже создано частное облако CloudSimple.

Получение сведений о пиринге ExpressRoute на портале CloudSimple

Для продолжения установки вам нужны ключ авторизации и URI однорангового канала для ExpressRoute, а также доступ к подписке Azure. Эти сведения публикуются на странице подключения к виртуальной сети на портале CloudSimple. Их получение описано в статье Настройка виртуального сетевого подключения к частному облаку. Если у вас возникли проблемы с получением этой информации, откройте запрос в службу поддержки.

Подключение виртуальной сети к частному облаку на портале Azure

  1. Создайте шлюз виртуальной сети для виртуальной сети, следуя инструкциям в статье Настройка шлюза виртуальной сети для ExpressRoute с помощью портала Azure.
  2. Свяжите эту виртуальную сеть с каналом ExpressRoute CloudSimple, следуя инструкциям в статье Подключение виртуальной сети к каналу ExpressRoute с помощью портала.
  3. Примените сведения о канале ExpressRoute CloudSimple, полученные в приветственном сообщении электронной почты от CloudSimple, чтобы связать виртуальную сеть с каналом ExpressRoute, созданном в Azure для CloudSimple.
  4. Введите значения ключа авторизации и URI однорангового канала, присвойте подключению имя и щелкните OK.

Указание URI однорангового канала CloudSimple при создании виртуальной сети

Развертывание кластера HyTrust KeyControl в Azure Resource Manager для виртуальной сети с помощью портала Azure

Чтобы развернуть кластер HyTrust KeyControl в Azure Resource Manager для виртуальной сети, выполните следующие задачи. Подробнее этот процесс описан в документации по HyTrust.

  1. Создайте группу безопасности сети Azure nsg-hytrust с указанными правилами для входящих подключений по инструкциям в документации HyTrust.
  2. Создайте пару ключей SSH в Azure.
  3. Разверните исходный узел KeyControl из образа в Azure Marketplace. Примените открытый ключ из созданной пары ключей и выберите nsg-hytrust в качестве группы безопасности сети для узла KeyControl.
  4. Преобразуйте частный IP-адрес узла KeyControl в статический IP-адрес.
  5. Подключитесь к виртуальной машине KeyControl по протоколу SSH, используя общедоступный IP-адрес и закрытый ключ из ранее упомянутой пары ключей.
  6. В ответ на запрос в командной консоли SSH выберите No, чтобы указать этот узел в качестве начального узла KeyControl.
  7. Добавьте дополнительные узлы KeyControl, повторив шаги 3–5 этой процедуры и выбрав Yes в ответ на предложение добавить узел в существующий кластер.

Настройка сервера KMIP в веб-интерфейсе HyTrust

Откройте адрес https://public-ip, где public-ip обозначает общедоступный IP-адрес виртуальной машины для узла KeyControl. Выполните следующие действия из документации HyTrust.

  1. Настройка сервера KMIP
  2. Создание пакета сертификатов для шифрования VMware

Настройка шифрования vSAN для использования кластера KMS в виртуальной сети Azure через пользовательский интерфейс vCenter

Выполните инструкции HyTrust по созданию кластера службы KMS в vCenter.

Добавление сведений о кластере KMS в vCenter

В vCenter перейдите в раздел Настройка кластера > и выберите Общий параметр для vSAN. Включите шифрование и выберите кластер KMS, который ранее был добавлен в vCenter.

Включите шифрование vSAN и настройте кластер KMS в vCenter

Ссылки

Azure

Настройка шлюза виртуальной сети для ExpressRoute с помощью портала Azure

Подключение виртуальной сети к каналу ExpressRoute с помощью портала

HyTrust

HyTrust DataControl и Microsoft Azure

Настройка сервера KMPI

Создание пакета сертификатов для шифрования VMware

Создание кластера KMS в vSphere