通过

为 CloudSimple 私有云配置 vSAN 加密

  • 项目

可以配置 vSAN 软件加密功能,以便 CloudSimple 私有云可以使用 Azure 虚拟网络中运行的密钥管理服务器。

使用 vSAN 加密时,VMware 需要使用符合外部 KMIP 1.1 的第三方密钥管理服务器 (KMS) 工具。 可以利用经 VMware 认证并可用于 Azure 的任何受支持的 KMS。

此指南介绍如何使用 Azure 虚拟网络中运行的 HyTrust KeyControl KMS。 对于 vSAN 其他经认证的第三方 KMS 解决方案,可使用相似的方法。

此 KMS 解决方案的要求如下:

  • 在 Azure 虚拟网络中安装、配置和管理经 VMware 认证的第三方 KMS 工具。
  • 为 KMS 工具提供自己的许可证。
  • 使用 Azure 虚拟网络中运行的第三方 KMS 工具在私有云中配置和管理 vSAN 加密。

KMS 部署方案

KMS 服务器群集在 Azure 虚拟网络中运行,是可通过配置的 Azure ExpressRoute 连接从私有云 vCenter 访问的 IP。

Azure 虚拟网络中的 ../media/KMS 群集

如何部署解决方案

部署过程包含以下步骤:

  1. 验证是否满足先决条件
  2. CloudSimple 门户:获取 ExpressRoute 对等互连信息
  3. Azure 门户:将虚拟网络连接到私有云
  4. Azure 门户:在虚拟网络中部署 HyTrust KeyControl 群集
  5. HyTrust WebUI:配置 KMIP 服务器
  6. vCenter UI:配置 vSAN 加密以使用 Azure 虚拟网络中的 KMS 群集

验证是否满足先决条件

在部署之前验证以下各项:

  • 选择的 KMS 供应商、工具和版本位于 vSAN 兼容性列表中。
  • 选择的供应商支持要在 Azure 中运行的工具版本。
  • KMS 工具的 Azure 版本符合 KMIP 1.1。
  • 已创建 Azure 资源管理器和虚拟网络。
  • 已创建 CloudSimple 私有云。

CloudSimple 门户:获取 ExpressRoute 对等互连信息

要继续设置,需要 ExpressRoute 的授权密钥和对等线路 URI 以及对 Azure 订阅的访问权限。 此信息可在 CloudSimple 门户中的“虚拟网络连接”页上找到。 有关说明,请参阅设置与私有云的虚拟网络连接。 如果在获取信息时遇到任何问题,请提交一个支持请求

Azure 门户:将虚拟网络连接到私有云

  1. 按照使用 Azure 门户为 ExpressRoute 配置虚拟网络网关中的说明操作,为虚拟网络创建虚拟网络网关。
  2. 按照使用门户将虚拟网络连接到 ExpressRoute 线路中的说明操作,将虚拟网络链接到 CloudSimple ExpressRoute 线路。
  3. 使用在 CloudSimple 发送的欢迎电子邮件中收到的 CloudSimple ExpressRoute 线路信息,将虚拟网络链接到 Azure 中的 CloudSimple ExpressRoute 线路。
  4. 输入授权密钥和对等线路 URI,并为连接命名,然后单击“确定”。

创建虚拟网络时需提供 CS 对等线路 URI

Azure 门户:在虚拟网络的 Azure 资源管理器中部署 HyTrust KeyControl 群集

若要在虚拟网络的 Azure 资源管理器中部署 HyTrust KeyControl 群集,请执行以下任务。 有关详细信息,请参阅 HyTrust 文档

  1. 请按照 HyTrust 文档中的说明操作,使用指定的入站规则创建 Azure 网络安全组 (nsg-hytrust)。
  2. 在 Azure 中生成 SSH 密钥对。
  3. 从 Azure 市场中的映像部署初始 KeyControl 节点。 使用生成的密钥对的公钥,并选择 nsg-hytrust 作为 KeyControl 节点的网络安全组。
  4. 将 KeyControl 的专用 IP 地址转换为静态 IP 地址。
  5. 使用 KeyControl VM 的公共 IP 地址和前面提到的密钥对的私钥,通过 SSH 连接到 KeyControl VM。
  6. SSH 安全外壳中出现提示时,选择 No,以将节点设置为初始 KeyControl 节点。
  7. 重复此过程的步骤 3-5,并在系统提示是否添加到现有群集时选择 Yes,以便添加其他 KeyControl 节点。

HyTrust WebUI:配置 KMIP 服务器

转到 https://public-ip,其中 public-ip 是 KeyControl 节点 VM 的公共 IP 地址。 请按照 HyTrust 文档中的步骤操作。

  1. 配置 KMIP 服务器
  2. 为 VMware 加密创建证书绑定

vCenter UI:配置 vSAN 加密以使用 Azure 虚拟网络中的 KMS 群集

请按照 HyTrust 说明在 vCenter 中创建 KMS 群集

在 vCenter 中添加 KMS 群集详细信息

在 vCenter 中,转到“群集”>“配置”,然后选择 vSAN 的“常规”选项。 启用加密并选择前面添加到 vCenter 的 KMS 群集。

在 vCenter 中启用 vSAN 加密并配置 KMS 群集

参考

Azure

使用 Azure 门户配置 ExpressRoute 的虚拟网络网关

使用门户将虚拟网络连接到 ExpressRoute 线路

HyTrust

HyTrust DataControl 和 Microsoft Azure

配置 KMPI 服务器

为 VMware 加密创建证书绑定

在 vSphere 中创建 KMS 群集