Konfigurace šifrování vSAN pro privátní cloud CloudSimple

Funkci šifrování softwaru vSAN můžete nakonfigurovat tak, aby privátní cloud CloudSimple fungoval se serverem pro správu klíčů spuštěným ve virtuální síti Azure.

VMware vyžaduje použití nástroje pro správu klíčů třetích stran, který je kompatibilní s KMIP 1.1, při použití šifrování vSAN. Můžete využít jakoukoli podporovanou službu Správy klíčů, která je certifikovaná společností VMware a je k dispozici pro Azure.

Tato příručka popisuje, jak používat službu HyTrust KeyControl KMS spuštěnou ve virtuální síti Azure. Podobný přístup lze použít pro jakékoli jiné certifikované řešení Služby správy klíčů třetích stran pro síť vSAN.

Toto řešení KMS vyžaduje, abyste:

  • Ve virtuální síti Azure nainstalujte, nakonfigurujte a spravujte nástroj KMS třetí strany certifikovaný pro VMware.
  • Zadejte vlastní licence pro nástroj KmS.
  • Nakonfigurujte a spravujte šifrování vSAN ve vašem privátním cloudu pomocí nástroje KmS třetí strany spuštěného ve vaší virtuální síti Azure.

Scénář nasazení Služby správy klíčů

Cluster serveru KMS běží ve vaší virtuální síti Azure a je dostupný z vCenter privátního cloudu přes nakonfigurované připojení Azure ExpressRoute.

../media/KMS cluster ve virtuální síti Azure

Postup nasazení řešení

Proces nasazení má následující kroky:

  1. Ověřte, že jsou splněné požadavky.
  2. Portál CloudSimple: Získání informací o partnerském vztahu ExpressRoute
  3. Azure Portal: Připojení virtuální sítě k privátnímu cloudu
  4. Azure Portal: Nasazení clusteru HyTrust KeyControl ve virtuální síti
  5. HyTrust WebUI: Konfigurace serveru KMIP
  6. Uživatelské rozhraní vCenter: Konfigurace šifrování sítě vSAN pro použití clusteru Služby správy klíčů ve virtuální síti Azure

Ověření splnění požadavků

Před nasazením ověřte následující:

  • Vybraný dodavatel, nástroj a verze Služby správy klíčů jsou v seznamu kompatibility vSAN.
  • Vybraný dodavatel podporuje verzi nástroje, která se má spustit v Azure.
  • Verze Azure nástroje KmS je kompatibilní se službou KMIP 1.1.
  • Azure Resource Manager a virtuální síť už jsou vytvořené.
  • Privátní cloud CloudSimple je již vytvořen.

Portál CloudSimple: Získání informací o partnerském vztahu ExpressRoute

Pokud chcete pokračovat v nastavení, potřebujete autorizační klíč a identifikátor URI partnerského okruhu pro ExpressRoute a přístup k vašemu předplatnému Azure. Tyto informace jsou k dispozici na stránce Připojení k virtuální síti na portálu CloudSimple. Pokyny najdete v tématu Nastavení připojení virtuální sítě k privátnímu cloudu. Pokud máte potíže se získáním informací, otevřete žádost o podporu.

Azure Portal: Připojení virtuální sítě k privátnímu cloudu

  1. Podle pokynů v tématu Konfigurace brány virtuální sítě pro ExpressRoute pomocí webu Azure Portal vytvořte bránu virtuální sítě pro vaši virtuální síť.
  2. Propojte virtuální síť s okruhem CloudSimple ExpressRoute podle pokynů v tématu Připojení virtuální sítě k okruhu ExpressRoute pomocí portálu.
  3. Pomocí informací o okruhu CloudSimple ExpressRoute přijatých v uvítacím e-mailu z CloudSimple propojte virtuální síť s okruhem CloudSimple ExpressRoute v Azure.
  4. Zadejte autorizační klíč a identifikátor URI partnerského okruhu, zadejte název připojení a klikněte na OK.

Zadejte identifikátor URI partnerského okruhu CS při vytváření virtuální sítě.

Azure Portal: Nasazení clusteru HyTrust KeyControl v Azure Resource Manageru ve vaší virtuální síti

Pokud chcete nasadit cluster HyTrust KeyControl ve vaší virtuální síti v Azure Resource Manageru, proveďte následující úlohy. Podrobnosti najdete v dokumentaci k HyTrust .

  1. Podle pokynů v dokumentaci HyTrust vytvořte skupinu zabezpečení sítě Azure (nsg-hytrust) se zadanými příchozími pravidly.
  2. Vygenerujte pár klíčů SSH v Azure.
  3. Nasaďte počáteční uzel KeyControl z image na Azure Marketplace. Použijte veřejný klíč páru klíčů, který byl vygenerován, a jako skupinu zabezpečení sítě pro uzel KeyControl vyberte nsg-hytrust .
  4. Převeďte privátní IP adresu KeyControl na statickou IP adresu.
  5. Připojte se přes SSH k virtuálnímu počítači KeyControl pomocí své veřejné IP adresy a privátního klíče dříve zmíněné dvojice klíčů.
  6. Po zobrazení výzvy v prostředí SSH vyberte No, aby se uzel nastavil jako počáteční uzel KeyControl.
  7. Přidejte další uzly KeyControl opakováním kroků 3 až 5 tohoto postupu a výběrem Yes po zobrazení výzvy k přidání do existujícího clusteru.

HyTrust WebUI: Konfigurace serveru KMIP

Přejděte na https:// public-ip, kde public-ip je veřejná IP adresa virtuálního počítače uzlu KeyControl. Postupujte podle těchto kroků v dokumentaci HyTrust.

  1. Konfigurace serveru KMIP
  2. Vytvoření sady certifikátů pro šifrování VMware

Uživatelské rozhraní vCenter: Konfigurace šifrování vSAN pro použití KMS clusteru ve vaší virtuální síti Azure

Postupujte podle pokynů HyTrust a vytvořte cluster Služby správy klíčů ve vCenter.

Přidejte podrobnosti KMS clusteru v vCenter

Ve vCenter přejděte na Konfigurace clusteru > a vyberte možnost Obecné pro síť vSAN. Povolte šifrování a vyberte cluster Služby správy klíčů, který byl dříve přidán do vCenter.

Povolení šifrování vSAN a konfigurace clusteru Služby správy klíčů ve vCenter

Odkazy

Azurový

Konfigurace brány virtuální sítě pro ExpressRoute pomocí Azure Portalu

Připojení virtuální sítě k okruhu ExpressRoute pomocí portálu

HyTrust

HyTrust DataControl a Microsoft Azure

Konfigurace serveru KMPI

Vytvoření sady certifikátů pro šifrování VMware

Vytvoření KMS clusteru ve vSphere

  • Last updated on