Konfigurera vSAN-kryptering för CloudSimple Private Cloud

Du kan konfigurera vSAN-programvarukrypteringsfunktionen så att ditt privata CloudSimple-moln kan fungera med en nyckelhanteringsserver som körs i ditt virtuella Azure-nätverk.

VMware kräver användning av ett externt KMIP 1.1-kompatibelt kms-verktyg (key management server) från tredje part när du använder vSAN-kryptering. Du kan använda alla KMS som stöds som är certifierade av VMware och som är tillgängliga för Azure.

Den här guiden beskriver hur du använder HyTrust KeyControl KMS som körs i ett virtuellt Azure-nätverk. En liknande metod kan användas för alla andra certifierade KMS-lösningar från tredje part för vSAN.

Den här KMS-lösningen kräver att du:

  • Installera, konfigurera och hantera ett VMware-certifierat KMS-verktyg från tredje part i ditt virtuella Azure-nätverk.
  • Ange dina egna licenser för KMS-verktyget.
  • Konfigurera och hantera vSAN-kryptering i ditt privata moln med hjälp av KMS-verktyget från tredje part som körs i ditt virtuella Azure-nätverk.

SCENARIO för KMS-distribution

KMS-serverklustret körs i ditt virtuella Azure-nätverk och kan nås från det privata molnet vCenter via den konfigurerade Azure ExpressRoute-anslutningen.

.. /media/KMS-kluster i ett virtuellt Azure-nätverk

Så här distribuerar du lösningen

Distributionsprocessen har följande steg:

  1. Kontrollera att kraven uppfylls
  2. CloudSimple-portalen: Hämta information om peering för ExpressRoute
  3. Azure-portalen: Ansluta ditt virtuella nätverk till det privata molnet
  4. Azure-portalen: Distribuera ett HyTrust KeyControl-kluster i ditt virtuella nätverk
  5. HyTrust WebUI: Konfigurera KMIP-server
  6. vCenter-användargränssnitt: Konfigurera vSAN-kryptering för att använda KMS-kluster i ditt virtuella Azure-nätverk

Kontrollera att kraven är uppfyllda

Kontrollera följande före distributionen:

  • Den valda KMS-leverantören, verktyget och versionen finns i listan med vSAN-kompatibilitet.
  • Den valda leverantören stöder en version av verktyget som ska köras i Azure.
  • Azure-versionen av KMS-verktyget är KMIP 1.1-kompatibel.
  • En Azure Resource Manager och ett virtuellt nätverk har redan skapats.
  • Ett privat CloudSimple-moln har redan skapats.

CloudSimple-portalen: Hämta ExpressRoute-peeringinformation

För att fortsätta installationen behöver du auktoriseringsnyckeln och peer-krets-URI:n för ExpressRoute plus åtkomst till din Azure-prenumeration. Den här informationen finns på sidan Anslutning till virtuellt nätverk i CloudSimple-portalen. Anvisningar finns i Konfigurera en virtuell nätverksanslutning till det privata molnet. Om du har problem med att hämta informationen öppnar du en supportbegäran.

Azure-portalen: Ansluta ditt virtuella nätverk till ditt privata moln

  1. Skapa en virtuell nätverksgateway för ditt virtuella nätverk genom att följa anvisningarna i Konfigurera en virtuell nätverksgateway för ExpressRoute med hjälp av Azure-portalen.
  2. Länka ditt virtuella nätverk till CloudSimple ExpressRoute-kretsen genom att följa anvisningarna i Ansluta ett virtuellt nätverk till en ExpressRoute-krets med hjälp av portalen.
  3. Använd CloudSimple ExpressRoute-kretsinformationen som tas emot i ditt välkomstmeddelande från CloudSimple för att länka ditt virtuella nätverk till CloudSimple ExpressRoute-kretsen i Azure.
  4. Ange auktoriseringsnyckeln och peer-krets-URI:n, ge anslutningen ett namn och klicka på OK.

Ange CS-peer-krets-URI när du skapar det virtuella nätverket

Azure-portalen: Distribuera ett HyTrust KeyControl-kluster i Azure Resource Manager i ditt virtuella nätverk

Utför följande uppgifter för att distribuera ett HyTrust KeyControl-kluster i Azure Resource Manager i ditt virtuella nätverk. Mer information finns i HyTrust-dokumentationen .

  1. Skapa en Azure-nätverkssäkerhetsgrupp (nsg-hytrust) med angivna regler för inkommande trafik genom att följa anvisningarna i HyTrust-dokumentationen.
  2. Generera ett SSH-nyckelpar i Azure.
  3. Distribuera den första KeyControl-noden från avbildningen på Azure Marketplace. Använd den offentliga nyckeln för nyckelparet som genererades och välj nsg-hytrust som nätverkssäkerhetsgrupp för KeyControl-noden.
  4. Konvertera den privata IP-adressen för KeyControl till en statisk IP-adress.
  5. SSH till den virtuella KeyControl-datorn med hjälp av dess offentliga IP-adress och den privata nyckeln för det tidigare nämnda nyckelparet.
  6. När du uppmanas att göra det i SSH-gränssnittet väljer du No för att ange noden som den första KeyControl-noden.
  7. Lägg till ytterligare KeyControl-noder genom att upprepa steg 3–5 i den här proceduren och välja Yes när du uppmanas att lägga till i ett befintligt kluster.

HyTrust WebUI: Konfigurera KMIP-servern

Gå till https:// public-ip, där public-ip är den offentliga IP-adressen för den virtuella KeyControl-nodens virtuella dator. Följ dessa steg i HyTrust-dokumentationen.

  1. Konfigurera en KMIP-server
  2. Skapa ett certifikatpaket för VMware-kryptering

vCenter-användargränssnitt: Konfigurera vSAN-kryptering för att använda KMS-kluster i ditt virtuella Azure-nätverk

Följ HyTrust-instruktionerna för att skapa ett KMS-kluster i vCenter.

Lägga till KMS-klusterinformation i vCenter

I vCenter går du till Kluster > konfigurera och väljer Allmänt alternativ för vSAN. Aktivera kryptering och välj det KMS-kluster som tidigare lades till i vCenter.

Aktivera vSAN-kryptering och konfigurera KMS-kluster i vCenter

Referenser

Blått

Konfigurera en virtuell nätverksgateway för ExpressRoute med hjälp av Azure-portalen

Ansluta ett virtuellt nätverk till en ExpressRoute-krets med hjälp av portalen

HyTrust

HyTrust DataControl och Microsoft Azure

Konfigurera en KMPI-server

Skapa ett certifikatpaket för VMware-kryptering

Skapa KMS-klustret i vSphere

  • Last updated on