Configurar a criptografia vSAN para CloudSimple Private Cloud

Você pode configurar o recurso de criptografia de software vSAN para que sua CloudSimple Private Cloud possa trabalhar com um servidor de gerenciamento de chaves em execução em sua rede virtual do Azure.

O VMware requer o uso de uma ferramenta KMS (servidor de gerenciamento de chaves) de terceiros compatível com KMIP 1.1 externo ao usar criptografia vSAN. Você pode aproveitar qualquer KMS suportado que seja certificado pela VMware e esteja disponível para o Azure.

Este guia descreve como usar o HyTrust KeyControl KMS em execução em uma rede virtual do Azure. Uma abordagem semelhante pode ser usada para qualquer outra solução KMS de terceiros certificada para vSAN.

Esta solução KMS requer que você:

  • Instale, configure e gerencie uma ferramenta KMS de terceiros certificada pela VMware em sua rede virtual do Azure.
  • Forneça suas próprias licenças para a ferramenta KMS.
  • Configure e gerencie a criptografia vSAN em sua nuvem privada usando a ferramenta KMS de terceiros em execução em sua rede virtual do Azure.

Cenário de implantação KMS

O cluster de servidores KMS é executado na sua rede virtual do Azure e é acessível por IP a partir do Private Cloud vCenter através da ligação Azure ExpressRoute configurada.

../media/Cluster KMS na rede virtual do Azure

Como implantar a solução

O processo de implantação tem as seguintes etapas:

  1. Verificar se os pré-requisitos são atendidos
  2. Portal CloudSimple: Obter informações de peering do ExpressRoute
  3. Portal do Azure: conecte a sua rede virtual à Nuvem Privada
  4. Portal do Azure: Implantar um cluster HyTrust KeyControl em sua rede virtual
  5. HyTrust WebUI: Configurar o servidor KMIP
  6. vCenter UI: Configure a criptografia vSAN para usar o cluster KMS em sua rede virtual do Azure

Verificar se os pré-requisitos são cumpridos

Verifique o seguinte antes da implantação:

  • O fornecedor, a ferramenta e a versão do KMS selecionados estão na lista de compatibilidade do vSAN.
  • O fornecedor selecionado dá suporte a uma versão da ferramenta para ser executada no Azure.
  • A versão do Azure da ferramenta KMS é compatível com KMIP 1.1.
  • Um Azure Resource Manager e uma rede virtual já foram criados.
  • Uma nuvem privada CloudSimple já foi criada.

Portal CloudSimple: obter informações de emparelhamento do ExpressRoute

Para continuar a configuração, é necessário ter a chave de autorização e o URI do circuito peer para o ExpressRoute, bem como acesso à sua subscrição do Azure. Essas informações estão disponíveis na página Conexão de rede virtual no portal CloudSimple. Para obter instruções, consulte Configurar uma conexão de rede virtual para a nuvem privada. Se você tiver problemas para obter as informações, abra uma solicitação de suporte.

Portal do Azure: Conecte sua rede virtual à sua nuvem privada

  1. Crie um gateway de rede virtual para sua rede virtual seguindo as instruções em Configurar um gateway de rede virtual para a Rota Expressa usando o portal do Azure.
  2. Vincule sua rede virtual ao circuito CloudSimple ExpressRoute seguindo as instruções em Conectar uma rede virtual a um circuito ExpressRoute usando o portal.
  3. Use as informações do circuito CloudSimple ExpressRoute recebidas em seu e-mail de boas-vindas do CloudSimple para vincular sua rede virtual ao circuito CloudSimple ExpressRoute no Azure.
  4. Insira a chave de autorização e o URI do circuito de mesmo nível, dê um nome à conexão e clique em OK.

Fornecer o URI do circuito parceiro CS ao criar a rede virtual

Portal do Azure: Implantar um cluster HyTrust KeyControl no Azure Resource Manager em sua rede virtual

Para implantar um cluster HyTrust KeyControl no Azure Resource Manager em sua rede virtual, execute as seguintes tarefas. Consulte a documentação da HyTrust para obter detalhes.

  1. Crie um grupo de segurança de rede do Azure (nsg-hytrust) com regras de entrada especificadas seguindo as instruções na documentação do HyTrust.
  2. Gere um par de chaves SSH no Azure.
  3. Implemente o nó inicial do KeyControl a partir da imagem no Azure Marketplace. Use a chave pública do par de chaves que foi gerado e selecione nsg-hytrust como o grupo de segurança de rede para o nó KeyControl.
  4. Converta o endereço IP privado de KeyControl para um endereço IP estático.
  5. SSH para a VM KeyControl usando seu endereço IP público e a chave privada do par de chaves mencionado anteriormente.
  6. Quando solicitado no shell SSH, selecione No para definir o nó como o nó KeyControl inicial.
  7. Adicione os nós KeyControl adicionais repetindo os passos 3 a 5 deste procedimento e selecionando Yes quando aparecer a mensagem para adicionar a um cluster existente.

HyTrust WebUI: Configurar o servidor KMIP

Vá para https://public-ip, onde public-ip é o endereço IP público da VM do nó KeyControl. Siga estas etapas na documentação do HyTrust.

  1. Configurando um servidor KMIP
  2. Criando um pacote de certificados para criptografia VMware

vCenter UI: Configure a criptografia vSAN para usar o cluster KMS em sua rede virtual do Azure

Siga as instruções do HyTrust para Criar um cluster KMS no vCenter.

Adicionar detalhes do cluster KMS no vCenter

No vCenter, vá para Configuração de cluster > e selecione a opção Geral para vSAN. Habilite a criptografia e selecione o cluster KMS que foi adicionado anteriormente ao vCenter.

Habilite a criptografia vSAN e configure o cluster KMS no vCenter

Referências

Azure

Configurar um gateway de rede virtual para o ExpressRoute com o portal do Azure

Ligar uma rede virtual a um circuito do ExpressRoute com o portal

HyTrust [en]

HyTrust DataControl e Microsoft Azure

Configurando um servidor KMPI

Criando um pacote de certificados para criptografia VMware

Criando o cluster KMS no vSphere

  • Last updated on