Compartilhar via

Configurar a criptografia vSAN para a Nuvem Privada da CloudSimple

Você pode configurar o recurso de criptografia de software vSAN para que a Nuvem Privada do CloudSimple possa trabalhar com um servidor de gerenciamento de chaves em execução em sua rede virtual do Azure.

O VMware requer o uso de uma ferramenta KMS (servidor de gerenciamento de chaves) de terceiros compatível com KMIP 1.1 externo ao usar a criptografia vSAN. Você pode aproveitar qualquer KMS com suporte certificado pelo VMware e está disponível para o Azure.

Este guia descreve como usar o HYTrust KeyControl KMS em execução em uma rede virtual do Azure. Uma abordagem semelhante pode ser usada para qualquer outra solução KMS de terceiros certificada para vSAN.

Esta solução KMS exige que você:

  • Instale, configure e gerencie uma ferramenta KMS de terceiros certificada pelo VMware em sua rede virtual do Azure.
  • Forneça suas próprias licenças para a ferramenta KMS.
  • Configure e gerencie a criptografia vSAN em sua Nuvem Privada usando a ferramenta KMS de terceiros em execução em sua rede virtual do Azure.

Cenário de implantação KMS

O cluster do servidor KMS é executado em sua rede virtual do Azure e pode ser acessado por IP do vCenter de Nuvem Privada pela conexão configurada do Azure ExpressRoute.

../media/cluster KMS na rede virtual do Azure

Como implantar a solução

O processo de implantação tem as seguintes etapas:

  1. Verificar se os pré-requisitos são atendidos
  2. portal CloudSimple: obter informações sobre o emparelhamento do ExpressRoute
  3. Portal do Azure: conecte sua rede virtual à Nuvem Privada
  4. portal do Azure: implantar um cluster HyTrust KeyControl em sua rede virtual
  5. HyTrust WebUI: configurar o servidor KMIP
  6. interface do usuário do vCenter: configure a criptografia vSAN para usar o cluster KMS em sua rede virtual do Azure

Verificar se os pré-requisitos foram atendidos

Verifique o seguinte antes da implantação:

  • O fornecedor, a ferramenta e a versão do KMS selecionados estão na lista de compatibilidade vSAN.
  • O fornecedor selecionado dá suporte a uma versão da ferramenta a ser executada no Azure.
  • A versão do Azure da ferramenta KMS é compatível com KMIP 1.1.
  • Um Azure Resource Manager e uma rede virtual já foram criados.
  • Uma nuvem privada do CloudSimple já foi criada.

Portal CloudSimple: obtenha informações de emparelhamento do ExpressRoute

Para continuar a instalação, você precisa da chave de autorização e do URI do circuito par para o ExpressRoute, além de acesso à sua Assinatura do Azure. Essas informações estão disponíveis na página Conexão de Rede Virtual no portal da CloudSimple. Para obter instruções, consulte Configurar uma conexão de rede virtual para a Nuvem Privada. Se você tiver problemas para obter as informações, abra uma solicitação de suporte .

Portal do Azure: conectar sua rede virtual à nuvem privada

  1. Crie um gateway de rede virtual para sua rede virtual seguindo as instruções em Configurar um gateway de rede virtual para o ExpressRoute usando o portal do Azure.
  2. Vincule sua rede virtual ao circuito do CloudSimple ExpressRoute seguindo as instruções em Conectar uma rede virtual a um circuito do ExpressRoute usando o portal.
  3. Use as informações de circuito do CloudSimple ExpressRoute recebidas em seu email de boas-vindas da CloudSimple para vincular sua rede virtual ao circuito do CloudSimple ExpressRoute no Azure.
  4. Insira a chave de autorização e o URI do circuito par, dê um nome à conexão e clique em OK.

Fornecer a URI do circuito paritário do CS ao criar a rede virtual

Portal do Azure: implantar um cluster HyTrust KeyControl no Azure Resource Manager em sua rede virtual

Para implantar um cluster HyTrust KeyControl no Azure Resource Manager em sua rede virtual, execute as seguintes tarefas. Consulte a documentação do HyTrust para obter detalhes.

  1. Crie um grupo de segurança de rede do Azure (nsg-hytrust) com regras de entrada especificadas seguindo as instruções na documentação do HyTrust.
  2. Gere um par de chaves SSH no Azure.
  3. Implante o nó inicial do KeyControl a partir da imagem no Azure Marketplace. Utilize a chave pública do par de chaves que foi gerado e selecione nsg-hytrust como o grupo de segurança de rede para o nó do KeyControl.
  4. Converta o endereço IP privado de KeyControl em um endereço IP estático.
  5. SSH para a VM KeyControl usando seu endereço IP público e a chave privada do par de chaves mencionado anteriormente.
  6. Quando solicitado na shell SSH, selecione No para definir o nó como nó inicial do KeyControl.
  7. Adicione nós KeyControl adicionais repetindo as etapas de 3 a 5 deste procedimento e selecionando Yes quando solicitado a adicionar a um cluster existente.

HyTrust WebUI: configurar o servidor KMIP

Vá para https://ip público, onde ip público é o endereço IP público da VM do nó KeyControl. Siga estas etapas na documentação do HyTrust.

  1. configurar um servidor KMIP
  2. Criando um conjunto de certificados para a criptografia VMware

Interface do usuário do vCenter: configurar a criptografia vSAN para usar o cluster KMS em sua rede virtual do Azure

Siga as instruções do HyTrust para Criar um cluster KMS no vCenter.

Adicionar detalhes do cluster KMS no vCenter

No vCenter, acesse Cluster > Configurar e selecione opção de Geral para vSAN. Habilite a criptografia e selecione o cluster KMS que foi adicionado anteriormente ao vCenter.

Habilitar criptografia vSAN e configurar o cluster KMS no vCenter

Referências

Azul

Configurar um gateway de rede virtual para ExpressRoute usando o portal do Azure

Conectar uma rede virtual a um circuito ExpressRoute usando o portal

HyTrust

HyTrust DataControl e Microsoft Azure

configurar um servidor KMPI

Criando um conjunto de certificados para a criptografia VMware

Criando o cluster KMS no vSphere

  • Last updated on