VSAN-titkosítás konfigurálása a CloudSimple magánfelhőhöz
Konfigurálhatja a vSAN szoftvertitkosítási funkciót, hogy a CloudSimple magánfelhő együttműködjön az Azure-beli virtuális hálózaton futó kulcskezelő kiszolgálóval.
A VMware használatához külső KMIP 1.1-kompatibilis külső kulcskezelő kiszolgáló (KMS) szükséges a vSAN-titkosítás használatakor. A VMware által hitelesített és az Azure-hoz elérhető támogatott KMS-eket használhatja.
Ez az útmutató az Azure-beli virtuális hálózatokon futó HyTrust KeyControl KMS használatát ismerteti. A vSAN bármely más minősített külső KMS-megoldásához hasonló megközelítés használható.
Ehhez a KMS-megoldáshoz a következőket kell tenni:
- VMware tanúsítvánnyal rendelkező, harmadik féltől származó KMS-eszköz telepítése, konfigurálása és kezelése az Azure-beli virtuális hálózaton.
- Adja meg saját licenceit a KMS-eszközhöz.
- Konfigurálja és kezelje a vSAN-titkosítást a magánfelhőben az Azure-beli virtuális hálózaton futó külső KMS-eszközzel.
KMS üzembe helyezési forgatókönyv
A KMS-kiszolgálófürt az Azure-beli virtuális hálózaton fut, és a privát felhő vCenterjéről elérhető IP-cím a konfigurált Azure ExpressRoute-kapcsolaton keresztül.
A megoldás üzembe helyezése
Az üzembehelyezési folyamat a következő lépésekkel rendelkezik:
- Ellenőrizze, hogy teljesülnek-e az előfeltételek
- CloudSimple portál: ExpressRoute-társviszony-létesítési információk beszerzése
- Azure Portal: A virtuális hálózat csatlakoztatása a magánfelhőhöz
- Azure Portal: HyTrust KeyControl-fürt üzembe helyezése a virtuális hálózaton
- HyTrust WebUI: KMIP-kiszolgáló konfigurálása
- vCenter felhasználói felület: VSAN-titkosítás konfigurálása KMS-fürt azure-beli virtuális hálózatban való használatához
Az előfeltételek teljesülésének ellenőrzése
Az üzembe helyezés előtt ellenőrizze a következőket:
- A kiválasztott KMS-szállító, -eszköz és -verzió szerepel a vSAN kompatibilitási listáján.
- A kiválasztott szállító támogatja az eszköz azure-beli futtatásához szükséges verzióját.
- A KMS-eszköz Azure-verziója a KMIP 1.1-es verziójának megfelelő.
- Már létrejön egy Azure-Resource Manager és egy virtuális hálózat.
- Már létrejön egy CloudSimple magánfelhő.
CloudSimple portál: ExpressRoute-társviszony-létesítési információk beszerzése
A beállítás folytatásához szüksége lesz az ExpressRoute engedélyezési kulcsára és társcsoport-URI-jára, valamint az Azure-előfizetéshez való hozzáférésre. Ezek az információk a CloudSimple portál Virtual Network Kapcsolat lapján érhetők el. Útmutatásért lásd: Virtuális hálózati kapcsolat beállítása a magánfelhőhöz. Ha problémákat tapasztal az információk lekérése során, nyisson meg egy támogatási kérést.
Azure Portal: A virtuális hálózat csatlakoztatása a magánfelhőhöz
- Hozzon létre egy virtuális hálózati átjárót a virtuális hálózat számára a Virtuális hálózati átjáró konfigurálása az ExpressRoute-hoz az Azure Portal használatával című cikk utasításait követve.
- Kapcsolja össze a virtuális hálózatot a CloudSimple ExpressRoute-kapcsolatcsoporttal a Virtuális hálózat csatlakoztatása ExpressRoute-kapcsolatcsoporthoz a portál használatával című cikk utasításait követve.
- A CloudSimple üdvözlő e-mailben kapott CloudSimple ExpressRoute-kapcsolatcsoport adataival kapcsolja össze a virtuális hálózatot az Azure-beli CloudSimple ExpressRoute-kapcsolatcsoporttal.
- Adja meg az engedélyezési kulcsot és a társcsoport URI-ját, adjon nevet a kapcsolatnak, majd kattintson az OK gombra.
Azure Portal: HyTrust KeyControl-fürt üzembe helyezése az Azure-Resource Manager a virtuális hálózaton
Ha egy HyTrust KeyControl-fürtöt szeretne üzembe helyezni az Azure Resource Manager a virtuális hálózatban, hajtsa végre a következő feladatokat. Részletekért tekintse meg a HyTrust dokumentációját .
- Hozzon létre egy Azure-beli hálózati biztonsági csoportot (nsg-hytrust) a megadott bejövő szabályokkal a HyTrust dokumentációjának utasításait követve.
- Hozzon létre egy SSH-kulcspárt az Azure-ban.
- Helyezze üzembe a kezdeti KeyControl csomópontot a rendszerképből a Azure Marketplace. Használja a létrehozott kulcspár nyilvános kulcsát, és válassza az nsg-hytrust elemet a KeyControl csomópont hálózati biztonsági csoportjaként.
- Alakítsa át a KeyControl magánhálózati IP-címét statikus IP-címké.
- SSH a KeyControl virtuális géphez a nyilvános IP-címével és a korábban említett kulcspár titkos kulcsával.
- Amikor a rendszer kéri az SSH-rendszerhéjban, válassza a
No
lehetőséget a csomópont kezdeti KeyControl-csomópontként való beállításához. - Adjon hozzá további KeyControl csomópontokat az eljárás 3–5. lépésének megismétlésével, majd válassza ki
Yes
, amikor a rendszer egy meglévő fürthöz való hozzáadásra kéri.
HyTrust WebUI: A KMIP-kiszolgáló konfigurálása
Lépjen a https:// public-ip helyre, ahol a public-ip a KeyControl csomópont virtuális gépének nyilvános IP-címe. Kövesse az alábbi lépéseket a HyTrust dokumentációjában.
vCenter felhasználói felület: VSAN-titkosítás konfigurálása KMS-fürt azure-beli virtuális hálózatban való használatához
A HyTrust utasításait követve hozzon létre egy KMS-fürtöt a vCenterben.
A vCenterben lépjen a Fürt > konfigurálása elemre, és válassza az Általános lehetőséget a vSAN-hoz. Engedélyezze a titkosítást, és válassza ki a korábban a vCenterhez hozzáadott KMS-fürtöt.
Hivatkozások
Azure
Virtuális hálózati átjáró konfigurálása az ExpressRoute-hoz a Azure Portal
Virtuális hálózat összekapcsolása ExpressRoute-kapcsolatcsoporttal a portálon
HyTrust
HyTrust DataControl és Microsoft Azure