Настройка шифрования vSAN для частного облака CloudSimple

Вы можете настроить функцию шифрования программного обеспечения vSAN, чтобы частное облако CloudSimple работало с сервером управления ключами, работающим в виртуальной сети Azure.

VMware требует использования внешнего средства управления ключами KMIP 1.1, соответствующего стороннему серверу управления ключами (KMS), при использовании шифрования vSAN. Вы можете использовать любые поддерживаемые KMS, сертифицированные VMware и доступные для Azure.

В этом руководстве описывается, как использовать KMS HyTrust KeyControl, выполняющуюся в виртуальной сети Azure. Аналогичный подход можно использовать для любого другого сертифицированного стороннего решения KMS для vSAN.

Для этого решения KMS требуется:

  • Установка, настройка и управление сертифицированным сторонним средством KMS vMware в виртуальной сети Azure.
  • Укажите собственные лицензии для средства KMS.
  • Настройте шифрование vSAN в частном облаке и управляйте ими с помощью стороннего средства KMS, работающего в виртуальной сети Azure.

Сценарий развертывания KMS

Кластер сервера KMS запущен в виртуальной сети Azure и доступен по IP из частного облака vCenter через настроенное подключение Azure ExpressRoute.

.. Кластер /media/KMS в виртуальной сети Azure

Развертывание решения

Процесс развертывания выполняет следующие действия.

  1. Убедитесь, что выполнены предварительные требования
  2. Портал CloudSimple: получение сведений об пиринге ExpressRoute
  3. Портал Azure. Подключение виртуальной сети к частному облаку
  4. Портал Azure. Развертывание кластера HyTrust KeyControl в виртуальной сети
  5. HyTrust WebUI: настройка сервера KMIP
  6. Пользовательский интерфейс vCenter: настройка шифрования vSAN для использования кластера KMS в виртуальной сети Azure

Проверка соблюдения предварительных требований

Проверьте следующее перед развертыванием:

  • Выбранный поставщик KMS, инструмент и версия находятся в списке совместимости vSAN.
  • Выбранный поставщик поддерживает версию средства для запуска в Azure.
  • Версия средства KMS azure соответствует KMIP 1.1.
  • Azure Resource Manager и виртуальная сеть уже созданы.
  • Частное облако CloudSimple уже создано.

Портал CloudSimple: получение сведений об пиринге ExpressRoute

Чтобы продолжить настройку, вам потребуется ключ авторизации и URI однорангового канала для ExpressRoute плюс доступ к подписке Azure. Эти сведения доступны на странице подключения к виртуальной сети на портале CloudSimple. Инструкции см. в разделе "Настройка подключения виртуальной сети к частному облаку". Если у вас возникли проблемы с получением информации, откройте запрос на поддержку.

Портал Azure. Подключение виртуальной сети к частному облаку

  1. Создайте шлюз виртуальной сети для виртуальной сети, выполнив инструкции по настройке шлюза виртуальной сети для ExpressRoute с помощью портала Azure.
  2. Свяжите виртуальную сеть с каналом ExpressRoute CloudSimple, следуя инструкциям в статье "Подключение виртуальной сети к каналу ExpressRoute" с помощью портала.
  3. Используйте сведения о канале CloudSimple ExpressRoute, полученные в приветственном сообщении из CloudSimple, чтобы связать виртуальную сеть с каналом CloudSimple ExpressRoute в Azure.
  4. Введите ключ авторизации и URI однорангового канала, укажите имя подключения и нажмите кнопку "ОК".

Предоставление URI однорангового канала CS при создании виртуальной сети

Портал Azure. Развертывание кластера HyTrust KeyControl в Azure Resource Manager в виртуальной сети

Чтобы развернуть кластер HyTrust KeyControl в Azure Resource Manager в виртуальной сети, выполните следующие задачи. Дополнительные сведения см. в документации по HyTrust .

  1. Создайте группу безопасности сети Azure (nsg-hytrust) с указанными правилами входящего трафика, следуя инструкциям в документации HyTrust.
  2. Создайте пару ключей SSH в Azure.
  3. Разверните начальный узел KeyControl из образа в Azure Marketplace. Используйте открытый ключ пары ключей, которая была создана, и выберите nsg-hytrust в качестве группы безопасности сети для узла KeyControl.
  4. Преобразуйте частный IP-адрес KeyControl в статический IP-адрес.
  5. Подключитесь к виртуальной машине KeyControl по SSH, используя ее общедоступный IP-адрес и закрытый ключ ранее указанной пары ключей.
  6. При появлении запроса в оболочке SSH выберите No, чтобы установить узел в качестве первоначального узла KeyControl.
  7. Добавьте дополнительные узлы KeyControl, повторяя шаги 3-5 этой процедуры и выбрав Yes, когда появится запрос о добавлении в существующий кластер.

HyTrust WebUI: настройка сервера KMIP

Перейдите к https:// public-ip, где общедоступный IP-адрес виртуальной машины узла KeyControl. Выполните следующие действия из документации HyTrust.

  1. Настройка сервера KMIP
  2. Создание пакета сертификатов для шифрования VMware

Пользовательский интерфейс vCenter: настройка шифрования vSAN для использования кластера KMS в виртуальной сети Azure

Следуйте инструкциям из HyTrust по созданию кластера KMS в vCenter.

Добавление сведений о кластере KMS в vCenter

В vCenter перейдите в раздел "Настройка кластера>" и выберите "Общие" для vSAN. Включите шифрование и выберите кластер KMS, который ранее был добавлен в vCenter.

Включение шифрования vSAN и настройка кластера KMS в vCenter

Ссылки

Лазурный

Настройка шлюза виртуальной сети для ExpressRoute с помощью портала Azure

Подключение виртуальной сети к каналу ExpressRoute с помощью портала

HyTrust

HyTrust DataControl и Microsoft Azure

Настройка сервера KMPI

Создание пакета сертификатов для шифрования VMware

Создание кластера KMS в vSphere

  • Last updated on