Konfigurieren der vSAN-Verschlüsselung für die private CloudSimple-Cloud

  • Artikel

Sie können das Feature für die vSAN-Softwareverschlüsselung konfigurieren, damit Ihre private CloudSimple-Cloud mit einem Schlüsselverwaltungsserver zusammenarbeiten kann, der in Ihrem virtuellen Azure-Netzwerk ausgeführt wird.

Für VMware ist die Verwendung eines externen KMIP 1.1-konformen Schlüsselverwaltungsserver-Tools (Key Management Server, KMS) eines Drittanbieters erforderlich, wenn die vSAN-Verschlüsselung verwendet wird. Sie können alle unterstützten KMS-Tools nutzen, die für VMware zertifiziert und für Azure verfügbar sind.

In diesem Leitfaden wird beschrieben, wie Sie das KMS-Tool „HyTrust KeyControl“ in einem virtuellen Azure-Netzwerk verwenden. Einen ähnlichen Ansatz können Sie auch für alle anderen zertifizierten KMS-Lösungen von Drittanbietern für vSAN verwenden.

Für diese KMS-Lösung ist Folgendes erforderlich:

  • Installieren, Konfigurieren und Verwalten eines für VMware zertifizierten KMS-Drittanbietertools in Ihrem virtuellen Azure-Netzwerk.
  • Bereitstellen Ihrer eigenen Lizenzen für das KMS-Tool
  • Konfigurieren und Verwalten der vSAN-Verschlüsselung in Ihrer privaten Cloud mit dem KMS-Drittanbietertool in Ihrem virtuellen Azure-Netzwerk

KMS-Bereitstellungsszenario

Der KMS-Servercluster wird in Ihrem virtuellen Azure-Netzwerk ausgeführt und ist über die konfigurierte Azure ExpressRoute-Verbindung per IP aus dem Private Cloud vCenter erreichbar.

../media/KMS-Cluster im virtuellen Azure-Netzwerk

Bereitstellen der Lösung

Der Bereitstellungsprozess umfasst die folgenden Schritte:

  1. Sicherstellen, dass alle Voraussetzungen erfüllt sind
  2. CloudSimple-Portal: Abrufen von ExpressRoute-Peeringinformationen
  3. Azure-Portal: Herstellen einer Verbindung Ihres virtuellen Netzwerks mit der privaten Cloud
  4. Azure-Portal: Bereitstellen eines HyTrust KeyControl-Clusters in Ihrem virtuellen Netzwerk
  5. HyTrust WebUI: Konfigurieren eines KMIP-Servers
  6. vCenter-Benutzeroberfläche: Konfigurieren der vSAN-Verschlüsselung für die Verwendung des KMS-Clusters in Ihrem virtuellen Azure-Netzwerk

Überprüfen der Erfüllung von Voraussetzungen

Überprüfen Sie vor der Bereitstellung Folgendes:

  • Der ausgewählte KMS-Anbieter, das Tool und die Version sind in der vSAN-Kompatibilitätsliste enthalten.
  • Der ausgewählte Anbieter unterstützt für eine Version des Tools die Ausführung in Azure.
  • Die Azure-Version des KMS-Tools ist KMIP 1.1-konform.
  • Eine Azure Resource Manager-Instanz und ein virtuelles Netzwerk wurden bereits erstellt.
  • Eine private CloudSimple-Cloud wurde bereits erstellt.

CloudSimple-Portal: Abrufen von ExpressRoute-Peeringinformationen

Um das Setup fortzusetzen, benötigen Sie den Autorisierungsschlüssel und den Peer-Verbindungs-URI für ExpressRoute sowie Zugriff auf Ihr Azure-Abonnement. Diese Informationen sind im CloudSimple-Portal auf der Seite „Virtual Network Connection“ (Virtuelle Netzwerkverbindung) verfügbar. Eine Anleitung finden Sie unter Einrichten einer VNET-Verbindung mit der privaten Cloud. Erstellen Sie eine Supportanfrage, falls Sie Probleme beim Abrufen dieser Informationen haben.

Azure-Portal: Herstellen einer Verbindung Ihres virtuellen Netzwerks mit der privaten Cloud

  1. Erstellen Sie für Ihr VNET ein Gateway für virtuelle Netzwerke, indem Sie die Anleitung unter Konfigurieren eines virtuellen Netzwerkgateways für ExpressRoute mit dem Azure-Portal befolgen.
  2. Verknüpfen Sie Ihr virtuelles Netzwerk mit der CloudSimple-ExpressRoute-Leitung, indem Sie die Anleitung unter Verbinden eines virtuellen Netzwerks mit einer ExpressRoute-Verbindung mithilfe des Portals befolgen.
  3. Verwenden Sie die Informationen zur CloudSimple-ExpressRoute-Leitung aus Ihrer Begrüßungs-E-Mail von CloudSimple, um Ihr virtuelles Netzwerk mit der CloudSimple-ExpressRoute-Leitung in Azure zu verknüpfen.
  4. Geben Sie den Autorisierungsschlüssel und den Peerleitungs-URI ein, geben Sie der Verbindung einen Namen, und klicken Sie auf OK.

Angeben des CS-Peerleitungs-URI beim Erstellen des virtuellen Netzwerks

Azure-Portal: Bereitstellen eines HyTrust KeyControl-Clusters in der Azure Resource Manager-Instanz Ihres virtuellen Netzwerks

Führen Sie die folgenden Aufgaben durch, um einen HyTrust KeyControl-Cluster in der Azure Resource Manager-Instanz in Ihrem virtuellen Netzwerk bereitzustellen. Details hierzu finden Sie in der HyTrust-Dokumentation.

  1. Erstellen Sie eine Azure-Netzwerksicherheitsgruppe (nsg-hytrust) mit angegebenen Eingangsregeln, indem Sie die Anleitung in der HyTrust-Dokumentation befolgen.
  2. Generieren Sie ein SSH-Schlüsselpaar in Azure.
  3. Stellen Sie den anfänglichen KeyControl-Knoten über das Azure Marketplace-Image bereit. Verwenden Sie den öffentlichen Schlüssel des generierten Schlüsselpaars, und wählen Sie nsg-hytrust als Netzwerksicherheitsgruppe für den KeyControl-Knoten aus.
  4. Konvertieren Sie die private IP-Adresse von KeyControl in eine statische IP-Adresse.
  5. Stellen Sie eine SSH-Verbindung mit der KeyControl-VM her, indem Sie ihre öffentliche IP-Adresse und den privaten Schlüssel des zuvor erwähnten Schlüsselpaars verwenden.
  6. Wählen Sie bei entsprechender Aufforderung in der Secure Shell die Option No aus, um den Knoten als anfänglichen KeyControl-Knoten festzulegen.
  7. Fügen Sie zusätzliche KeyControl-Knoten hinzu, indem Sie die Schritte 3 bis 5 dieses Verfahrens erneut ausführen und Yes auswählen, wenn die Aufforderung zum Hinzufügen zu einem vorhandenen Cluster angezeigt wird.

HyTrust WebUI: Konfigurieren des KMIP-Servers

Navigieren Sie zu „https://public-ip“, wobei public-ip für die öffentliche IP-Adresse der KeyControl-Knoten-VM steht. Führen Sie die Schritte aus, die in der HyTrust-Dokumentation beschrieben sind.

  1. Configuring a KMIP server (Konfigurieren eines KMIP-Servers)
  2. Creating a Certificate Bundle for VMware Encryption (Erstellen eines Zertifikatpakets für die VMware-Verschlüsselung)

vCenter-Benutzeroberfläche: Konfigurieren der vSAN-Verschlüsselung für die Verwendung des KMS-Clusters in Ihrem virtuellen Azure-Netzwerk

Befolgen Sie die HyTrust-Anleitung zum Erstellen eines KMS-Clusters in vCenter.

Hinzufügen von KMS-Clusterdetails in vCenter

Navigieren Sie in vCenter zu Cluster > Konfigurieren, und wählen Sie für vSAN die Option Allgemein aus. Aktivieren Sie die Verschlüsselung, und wählen Sie den KMS-Cluster aus, der vCenter zuvor hinzugefügt wurde.

Aktivieren der vSAN-Verschlüsselung und Konfigurieren des KMS-Clusters in vCenter

References

Azure

Konfigurieren eines virtuellen Netzwerkgateways für ExpressRoute mit dem Azure-Portal

Verbinden eines virtuellen Netzwerks mit einer ExpressRoute-Verbindung mithilfe des Portals

HyTrust

HyTrust DataControl and Microsoft Azure (HyTrust DataControl und Microsoft Azure)

Configuring a KMPI Server (Konfigurieren eines KMPI-Servers)

Creating a Certificate Bundle for VMware Encryption (Erstellen eines Zertifikatpakets für die VMware-Verschlüsselung)

Creating the KMS Cluster in vSphere (Erstellen des KMS-Clusters in vSphere)