Remarque
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
Vous pouvez configurer la fonctionnalité de chiffrement de logiciel vSAN afin que votre cloud privé CloudSimple puisse fonctionner avec un serveur d’administration de clés s’exécutant dans votre réseau virtuel Azure.
VMware nécessite l’utilisation d’un outil kmIP 1.1 externe conforme au serveur d’administration de clés tiers (KMS) lors de l’utilisation du chiffrement vSAN. Vous pouvez tirer parti de n’importe quel kmS pris en charge certifié par VMware et disponible pour Azure.
Ce guide explique comment utiliser HyTrust KeyControl KMS s’exécutant dans un réseau virtuel Azure. Une approche similaire peut être utilisée pour toute autre solution KMS tierce certifiée pour vSAN.
Cette solution KMS vous oblige à :
- Installez, configurez et gérez un outil KMS tiers certifié VMware dans votre réseau virtuel Azure.
- Fournissez vos propres licences pour l’outil KMS.
- Configurez et gérez le chiffrement vSAN dans votre cloud privé à l’aide de l’outil KMS tiers exécuté dans votre réseau virtuel Azure.
Scénario de déploiement KMS
Le cluster de serveur KMS s’exécute dans votre réseau virtuel Azure et est accessible par IP à partir du vCenter de cloud privé via la connexion Azure ExpressRoute configurée.
Comment déployer la solution
Le processus de déploiement comporte les étapes suivantes :
- Vérifier que les conditions préalables sont remplies
- portail CloudSimple : obtenir des informations sur le peering ExpressRoute
- Le Portail Azure : Connecter votre Réseau Virtuel au Cloud Privé
- portail Azure : Déployer un cluster HyTrust KeyControl dans votre réseau virtuel
- HyTrust WebUI : Configurer le serveur KMIP
- interface utilisateur vCenter : configurer le chiffrement vSAN pour utiliser le cluster KMS dans votre réseau virtuel Azure
Vérifier que les conditions préalables sont remplies
Vérifiez les éléments suivants avant le déploiement :
- Le fournisseur, l’outil et la version KMS sélectionnés figurent dans la liste de compatibilité vSAN.
- Le fournisseur sélectionné prend en charge une version de l’outil à exécuter dans Azure.
- La version Azure de l’outil KMS est conforme à KMIP 1.1.
- Azure Resource Manager et un réseau virtuel sont déjà créés.
- Un cloud privé CloudSimple est déjà créé.
Portail CloudSimple : Obtenez les informations de peering ExpressRoute
Pour continuer la configuration, vous avez besoin de la clé d’autorisation et de l’URI du circuit de pair pour ExpressRoute ainsi que l’accès à votre abonnement Azure. Ces informations sont disponibles sur la page Connexion de réseau virtuel dans le portail CloudSimple. Pour obtenir des instructions, consultez Configurer une connexion de réseau virtuel au cloud privé. Si vous rencontrez des problèmes lors de l’obtention des informations, ouvrez une demande de support .
Portail Azure : Connecter votre réseau virtuel à votre cloud privé
- Créez une passerelle de réseau virtuel pour votre réseau virtuel en suivant les instructions de Configurer une passerelle de réseau virtuel pour ExpressRoute à l’aide du portail Azure.
- Liez votre réseau virtuel au circuit ExpressRoute CloudSimple en suivant les instructions de Connecter un réseau virtuel à un circuit ExpressRoute à l’aide du portail.
- Utilisez les informations du circuit ExpressRoute CloudSimple reçues dans votre e-mail de bienvenue de CloudSimple pour lier votre réseau virtuel au circuit ExpressRoute CloudSimple dans Azure.
- Entrez la clé d’autorisation et l’URI du circuit homologue, donnez un nom à la connexion, puis cliquez sur OK.
Portail Azure : Déployer un cluster HyTrust KeyControl dans Azure Resource Manager dans votre réseau virtuel
Pour déployer un cluster HyTrust KeyControl dans Azure Resource Manager dans votre réseau virtuel, effectuez les tâches suivantes. Pour plus d’informations, consultez la documentation HyTrust.
- Créez un groupe de sécurité réseau Azure (nsg-hytrust) avec des règles de trafic entrant spécifiées en suivant les instructions de la documentation HyTrust.
- Générez une paire de clés SSH dans Azure.
- Déployez le nœud KeyControl initial à partir de l’image dans la Place de marché Azure. Utilisez la clé publique de la paire de clés générée et sélectionnez nsg-hytrust comme groupe de sécurité réseau pour le nœud KeyControl.
- Convertissez l’adresse IP privée de KeyControl en adresse IP statique.
- Ssh vers la machine virtuelle KeyControl à l’aide de son adresse IP publique et de la clé privée de la paire de clés mentionnée précédemment.
- Lorsque vous y êtes invité dans l’interpréteur de commandes SSH, sélectionnez
Nopour définir le nœud comme nœud KeyControl initial. - Ajoutez des nœuds KeyControl supplémentaires en répétant les étapes 3 à 5 de cette procédure et en sélectionnant
Yeslorsque vous y êtes invité à ajouter un cluster existant.
HyTrust WebUI : Configurer le serveur KMIP
Accédez à https://public-ip, où public-ip est l’adresse IP publique de la machine virtuelle du nœud KeyControl. Suivez ces étapes à partir de la documentation HyTrust.
Interface utilisateur vCenter : Configurer le chiffrement vSAN pour utiliser un cluster KMS dans votre réseau virtuel Azure
Suivez les instructions HyTrust pour créer un cluster KMS dans vCenter.
Dans vCenter, accédez à Cluster > Configurer, puis sélectionnez option Général pour vSAN. Activez le chiffrement et sélectionnez le cluster KMS qui a été précédemment ajouté à vCenter.
Références
Azur
Configurer une passerelle de réseau virtuel pour ExpressRoute à l’aide du portail Azure
Connecter un réseau virtuel à un circuit ExpressRoute à l’aide du portail
HyTrust
HyTrust DataControl et Microsoft Azure
configuration d’un serveur KMPI