Configuración del cifrado de vSAN para la nube privada de CloudSimple

Artículo
08/19/2019

Puede configurar la característica de cifrado de software de vSAN para que la nube privada de CloudSimple pueda trabajar con un servidor de administración de claves que se ejecuta en la red virtual de Azure.

VMware requiere el uso de una herramienta externa de servidor de administración de claves (KMS) de terceros que cumple con el protocolo KMIP 1.1 cuando se usa el cifrado de vSAN. Puede aprovechar cualquier servidor de administración de claves compatible que esté certificado por VMware y que esté disponible para Azure.

En esta guía se describe cómo usar el servidor de administración de claves de HyTrust KeyControl que se ejecuta en una red virtual de Azure. Se puede usar un enfoque similar con cualquier otra solución de KMS de terceros certificada para vSAN.

Esta solución de KMS necesita que:

Instale, configure y administre una herramienta de KMS de terceros con certificación de VMware en la red virtual de Azure.
Proporcione sus propias licencias para la herramienta de KMS.
Configure y administre el cifrado de vSAN en la nube privada mediante la herramienta de KMS de terceros que se ejecuta en la red virtual de Azure.

Escenario de implementación de KMS

El clúster de servidores de KMS se ejecuta en la red virtual de Azure y es accesible mediante IP desde el vCenter de la nube privada a través de la conexión de Azure ExpressRoute configurada.

Clúster de /media/KMS en una red virtual de Azure

Implementación de la solución

El proceso de implementación consta de los siguientes pasos:

Comprobación de que se cumplen los requisitos previos
Portal de CloudSimple: Obtención de información de emparejamiento de ExpressRoute
Azure Portal: Conexión de la red virtual a la nube privada
Azure Portal: Implementación de un clúster de HyTrust KeyControl en la red virtual
HyTrust WebUI: Configuración de servidores de KMIP
IU de vCenter: Configuración del cifrado de vSAN para que use el clúster de KMS en la red virtual de Azure

Comprobación de que se cumplen los requisitos previos

Compruebe lo siguiente antes de la implementación:

El proveedor, la herramienta y la versión de KMS seleccionados se encuentran en la lista de compatibilidad de vSAN.
El proveedor seleccionado admite que se ejecute una versión de la herramienta en Azure.
La versión de Azure de la herramienta de KMS es compatible con KMIP 1.1.
Ya se ha creado una instancia de Azure Resource Manager y una red virtual.
Ya se ha creado una nube privada de CloudSimple.

Portal de CloudSimple: Obtención de información de emparejamiento de ExpressRoute

Para continuar con la instalación, necesita la clave de autorización y el identificador URI del circuito del mismo nivel para ExpressRoute además de acceso a su suscripción de Azure. Esta información está disponible en la página Virtual Network Connection en el portal de CloudSimple. Para obtener instrucciones, consulte Configuración de una conexión de red virtual a la nube privada. Si tiene algún problema para obtener la información, abra una solicitud de soporte técnico.

Azure Portal: Conexión de la red virtual a la nube privada

Cree una puerta de enlace de red virtual para la red virtual siguiendo las instrucciones que se encuentran en Configuración de una puerta de enlace de red virtual para ExpressRoute con Azure Portal.
Vincule la red virtual al circuito de ExpressRoute de CloudSimple siguiendo las instrucciones de Conexión de una red virtual con un circuito de ExpressRoute mediante el portal.
Use la información del circuito de ExpressRoute que recibió en el correo electrónico de bienvenida de CloudSimple para vincular la red virtual al circuito de ExpressRoute para CloudSimple en Azure.
Escriba la clave de autorización y el identificador URI de circuito del mismo nivel, asigne un nombre a la conexión y haga clic en Aceptar.

Proporcionar el identificador URI del circuito del mismo nivel de CloudSimple al crear la red virtual

Azure Portal: Implementación de un clúster de HyTrust KeyControl en la instancia de Azure Resource Manager de la red virtual

Para implementar un clúster de HyTrust KeyControl en la instancia de Azure Resource Manager de la red virtual, realice las tareas siguientes. Consulte la documentación de HyTrust para más información.

Cree un grupo de seguridad de red de Azure (nsg-hytrust) con las reglas de entrada especificadas siguiendo las instrucciones de la documentación de HyTrust.
Genere un par de claves SSH en Azure.
Implemente el nodo de KeyControl inicial de la imagen en Azure Marketplace. Use la clave pública del par de claves que se generó y seleccione nsg-hytrust como el grupo de seguridad de red para el nodo de KeyControl.
Convierta la dirección IP privada de KeyControl en una dirección IP estática.
Conéctese mediante SSH a la máquina virtual de KeyControl mediante su dirección IP pública y la clave privada del par de claves mencionado anteriormente.
Cuando se le solicite en el shell de SSH, seleccione No para establecer el nodo como el nodo inicial de KeyControl.
Agregue nodos adicionales de KeyControl repitiendo los pasos 3-5 de este procedimiento y seleccionando Yes cuando se le pida que lo agregue a un clúster existente.

HyTrust WebUI: Configuración de servidores de KMIP

Vaya a https://public-ip, donde public-ip es la dirección IP pública de la máquina virtual del nodo de KeyControl. Siga estos pasos de la documentación de HyTrust.

IU de vCenter: Configuración del cifrado de vSAN para que use el clúster de KMS en la red virtual de Azure

Siga las instrucciones de HyTrust para crear un clúster de KMS en vCenter.

Agregar detalles del clúster de KMS en vCenter

En vCenter, vaya a Clúster > Configurar y seleccione la opción General para vSAN. Habilite el cifrado y seleccione el clúster de KMS que se agregó previamente a vCenter.

Habilitación del cifrado de vSAN y configuración del clúster de KMS en vCenter