共用方式為

設定 CloudSimple 私人雲端的 vSAN 加密

您可以設定 vSAN 軟體加密功能,讓 CloudSimple Private Cloud 可與在 Azure 虛擬網路中執行的金鑰管理伺服器搭配運作。

使用 vSAN 加密時,VMware 需要使用符合外部 KMIP 1.1 規範的第三方密鑰管理伺服器 (KMS) 工具。 您可以利用 VMware 認證且可供 Azure 使用的任何支援 KMS。

本指南說明如何使用在 Azure 虛擬網路中執行的 HyTrust KeyControl KMS。 類似的方法可用於 vSAN 的任何其他認證第三方 KMS 解決方案。

此 KMS 解決方案會要求您:

  • 在您的 Azure 虛擬網路中安裝、設定及管理 VMware 認證的第三方 KMS 工具。
  • 為 KMS 工具提供您自己的授權。
  • 使用在 Azure 虛擬網路中執行的第三方 KMS 工具,在您的私人雲端中設定和管理 vSAN 加密。

KMS 部署案例

KMS 伺服器叢集會在 Azure 虛擬網路中執行,而且可從私人雲端 vCenter 透過設定的 Azure ExpressRoute 連線。

..Azure 虛擬網路中的 /media/KMS 叢集

如何部署解決方案

部署程式具有下列步驟:

  1. 確認符合必要條件
  2. CloudSimple 入口網站:取得 ExpressRoute 對等互連資訊
  3. Azure 入口網站:將您的虛擬網路連線到私人雲端
  4. Azure 入口網站:在您的虛擬網路中部署 HyTrust KeyControl 叢集
  5. HyTrust WebUI:設定 KMIP 伺服器
  6. vCenter UI:設定 vSAN 加密以在 Azure 虛擬網路中使用 KMS 叢集

確認符合必要條件

在部署之前確認下列事項:

  • 選取的 KMS 廠商、工具和版本位於 vSAN 相容性清單中。
  • 選取的廠商支援在 Azure 中執行的工具版本。
  • KMS 工具的 Azure 版本符合 KMIP 1.1 規範。
  • 已建立 Azure Resource Manager 和虛擬網路。
  • CloudSimple 私人雲端已建立。

CloudSimple 入口網站:取得 ExpressRoute 對等資訊

若要繼續設定,您需要 ExpressRoute 的授權金鑰和對等線路 URI,以及 Azure 訂用帳戶的存取權。 此資訊可在 CloudSimple 入口網站的 [虛擬網路連線] 頁面上取得。 如需指示,請參閱 設定私人雲端的虛擬網路連線。 如果您無法取得資訊,請開啟 支援要求

Azure 入口網站:將您的虛擬網路連線到私人雲端

  1. 依照 使用 Azure 入口網站為 ExpressRoute 設定虛擬網路閘道中的指示,為您的虛擬網路建立虛擬網路閘道。
  2. 如需將您的虛擬網路連結至 CloudSimple ExpressRoute 線路,請遵循使用 Azure 入口網站將虛擬網路連接至 ExpressRoute 線路中的指示。
  3. 使用來自 CloudSimple 的歡迎電子郵件中收到的 CloudSimple ExpressRoute 線路資訊,將虛擬網路連結至 Azure 中的 CloudSimple ExpressRoute 線路。
  4. 輸入授權密鑰和對等線路 URI、提供連線名稱,然後按兩下 [ 確定]。

建立虛擬網路時提供 CS 對等線路 URI

Azure 入口網站:在虛擬網路中的 Azure Resource Manager 中部署 HyTrust KeyControl 叢集

若要在虛擬網路中的 Azure Resource Manager 中部署 HyTrust KeyControl 叢集,請執行下列工作。 如需詳細資訊,請參閱 HyTrust 檔

  1. 遵循 HyTrust 檔中的指示,建立具有指定輸入規則的 Azure 網路安全組 (nsg-hytrust)。
  2. 在 Azure 中產生 SSH 金鑰組。
  3. 從 Azure Marketplace 中的映像部署初始 KeyControl 節點。 使用產生的金鑰組公鑰,並選取 nsg-hytrust 作為 KeyControl 節點的網路安全組。
  4. 將 KeyControl 的私人 IP 位址轉換為靜態 IP 位址。
  5. 使用其公用IP位址和先前提及金鑰組的私鑰,透過SSH連線至 KeyControl VM。
  6. 在 SSH 殼層中出現提示時,選取 No 以將節點設定為初始 KeyControl 節點。
  7. 重複此程式的步驟 3-5,並在系統提示新增至現有叢集時選取 Yes ,以新增其他 KeyControl 節點。

HyTrust WebUI:設定 KMIP 伺服器

移至 https:// public-ip,其中 public-ip 是 KeyControl 節點 VM 的公用 IP 位址。 請遵循 HyTrust 檔中的這些步驟。

  1. 設定 KMIP 伺服器
  2. 建立 VMware 加密的憑證套件組合

vCenter UI:設定 vSAN 加密以在 Azure 虛擬網路中使用 KMS 叢集

遵循 HyTrust 指示, 在 vCenter 中建立 KMS 叢集

在 vCenter 中新增 KMS 叢集詳細數據

在 vCenter 中,移至 [ 叢集 > 設定 ],然後選取 vSAN 的 [ 一般 ] 選項。 啟用加密,然後選取先前新增至 vCenter 的 KMS 叢集。

在 vCenter 中啟用 vSAN 加密和設定 KMS 叢集

參考資料

Azure雲服務

使用 Azure 入口網站設定 ExpressRoute 的虛擬網路閘道

使用入口網站將虛擬網路連線至 ExpressRoute 線路

HyTrust

HyTrust DataControl 和 Microsoft Azure

設定 KMPI 伺服器

建立 VMware 加密的憑證套件組合

在 vSphere 中建立 KMS 叢集

  • Last updated on