VSAN-titkosítás konfigurálása a CloudSimple magánfelhőhöz

  • Cikk

Konfigurálhatja a vSAN szoftvertitkosítási funkciót, hogy a CloudSimple magánfelhő együttműködjön az Azure-beli virtuális hálózaton futó kulcskezelő kiszolgálóval.

A VMware használatához külső KMIP 1.1-kompatibilis külső kulcskezelő kiszolgáló (KMS) szükséges a vSAN-titkosítás használatakor. A VMware által hitelesített és az Azure-hoz elérhető támogatott KMS-eket használhatja.

Ez az útmutató az Azure-beli virtuális hálózatokon futó HyTrust KeyControl KMS használatát ismerteti. A vSAN bármely más minősített külső KMS-megoldásához hasonló megközelítés használható.

Ehhez a KMS-megoldáshoz a következőket kell tenni:

  • VMware tanúsítvánnyal rendelkező, harmadik féltől származó KMS-eszköz telepítése, konfigurálása és kezelése az Azure-beli virtuális hálózaton.
  • Adja meg saját licenceit a KMS-eszközhöz.
  • Konfigurálja és kezelje a vSAN-titkosítást a magánfelhőben az Azure-beli virtuális hálózaton futó külső KMS-eszközzel.

KMS üzembe helyezési forgatókönyv

A KMS-kiszolgálófürt az Azure-beli virtuális hálózaton fut, és a privát felhő vCenterjéről elérhető IP-cím a konfigurált Azure ExpressRoute-kapcsolaton keresztül.

.. /media/KMS-fürt az Azure-beli virtuális hálózaton

A megoldás üzembe helyezése

Az üzembehelyezési folyamat a következő lépésekkel rendelkezik:

  1. Ellenőrizze, hogy teljesülnek-e az előfeltételek
  2. CloudSimple portál: ExpressRoute-társviszony-létesítési információk beszerzése
  3. Azure Portal: A virtuális hálózat csatlakoztatása a magánfelhőhöz
  4. Azure Portal: HyTrust KeyControl-fürt üzembe helyezése a virtuális hálózaton
  5. HyTrust WebUI: KMIP-kiszolgáló konfigurálása
  6. vCenter felhasználói felület: VSAN-titkosítás konfigurálása KMS-fürt azure-beli virtuális hálózatban való használatához

Az előfeltételek teljesülésének ellenőrzése

Az üzembe helyezés előtt ellenőrizze a következőket:

  • A kiválasztott KMS-szállító, -eszköz és -verzió szerepel a vSAN kompatibilitási listáján.
  • A kiválasztott szállító támogatja az eszköz azure-beli futtatásához szükséges verzióját.
  • A KMS-eszköz Azure-verziója a KMIP 1.1-es verziójának megfelelő.
  • Már létrejön egy Azure-Resource Manager és egy virtuális hálózat.
  • Már létrejön egy CloudSimple magánfelhő.

CloudSimple portál: ExpressRoute-társviszony-létesítési információk beszerzése

A beállítás folytatásához szüksége lesz az ExpressRoute engedélyezési kulcsára és társcsoport-URI-jára, valamint az Azure-előfizetéshez való hozzáférésre. Ezek az információk a CloudSimple portál Virtual Network Kapcsolat lapján érhetők el. Útmutatásért lásd: Virtuális hálózati kapcsolat beállítása a magánfelhőhöz. Ha problémákat tapasztal az információk lekérése során, nyisson meg egy támogatási kérést.

Azure Portal: A virtuális hálózat csatlakoztatása a magánfelhőhöz

  1. Hozzon létre egy virtuális hálózati átjárót a virtuális hálózat számára a Virtuális hálózati átjáró konfigurálása az ExpressRoute-hoz az Azure Portal használatával című cikk utasításait követve.
  2. Kapcsolja össze a virtuális hálózatot a CloudSimple ExpressRoute-kapcsolatcsoporttal a Virtuális hálózat csatlakoztatása ExpressRoute-kapcsolatcsoporthoz a portál használatával című cikk utasításait követve.
  3. A CloudSimple üdvözlő e-mailben kapott CloudSimple ExpressRoute-kapcsolatcsoport adataival kapcsolja össze a virtuális hálózatot az Azure-beli CloudSimple ExpressRoute-kapcsolatcsoporttal.
  4. Adja meg az engedélyezési kulcsot és a társcsoport URI-ját, adjon nevet a kapcsolatnak, majd kattintson az OK gombra.

Adja meg a CS társkapcsolatcsoport URI-ját a virtuális hálózat létrehozásakor

Azure Portal: HyTrust KeyControl-fürt üzembe helyezése az Azure-Resource Manager a virtuális hálózaton

Ha egy HyTrust KeyControl-fürtöt szeretne üzembe helyezni az Azure Resource Manager a virtuális hálózatban, hajtsa végre a következő feladatokat. Részletekért tekintse meg a HyTrust dokumentációját .

  1. Hozzon létre egy Azure-beli hálózati biztonsági csoportot (nsg-hytrust) a megadott bejövő szabályokkal a HyTrust dokumentációjának utasításait követve.
  2. Hozzon létre egy SSH-kulcspárt az Azure-ban.
  3. Helyezze üzembe a kezdeti KeyControl csomópontot a rendszerképből a Azure Marketplace. Használja a létrehozott kulcspár nyilvános kulcsát, és válassza az nsg-hytrust elemet a KeyControl csomópont hálózati biztonsági csoportjaként.
  4. Alakítsa át a KeyControl magánhálózati IP-címét statikus IP-címké.
  5. SSH a KeyControl virtuális géphez a nyilvános IP-címével és a korábban említett kulcspár titkos kulcsával.
  6. Amikor a rendszer kéri az SSH-rendszerhéjban, válassza a No lehetőséget a csomópont kezdeti KeyControl-csomópontként való beállításához.
  7. Adjon hozzá további KeyControl csomópontokat az eljárás 3–5. lépésének megismétlésével, majd válassza ki Yes , amikor a rendszer egy meglévő fürthöz való hozzáadásra kéri.

HyTrust WebUI: A KMIP-kiszolgáló konfigurálása

Lépjen a https:// public-ip helyre, ahol a public-ip a KeyControl csomópont virtuális gépének nyilvános IP-címe. Kövesse az alábbi lépéseket a HyTrust dokumentációjában.

  1. KMIP-kiszolgáló konfigurálása
  2. Tanúsítványcsomag létrehozása VMware-titkosításhoz

vCenter felhasználói felület: VSAN-titkosítás konfigurálása KMS-fürt azure-beli virtuális hálózatban való használatához

A HyTrust utasításait követve hozzon létre egy KMS-fürtöt a vCenterben.

KMS-fürt részleteinek hozzáadása a vCenterben

A vCenterben lépjen a Fürt > konfigurálása elemre, és válassza az Általános lehetőséget a vSAN-hoz. Engedélyezze a titkosítást, és válassza ki a korábban a vCenterhez hozzáadott KMS-fürtöt.

VSAN-titkosítás engedélyezése és KMS-fürt konfigurálása a vCenterben

Hivatkozások

Azure

Virtuális hálózati átjáró konfigurálása az ExpressRoute-hoz a Azure Portal

Virtuális hálózat összekapcsolása ExpressRoute-kapcsolatcsoporttal a portálon

HyTrust

HyTrust DataControl és Microsoft Azure

KMPI-kiszolgáló konfigurálása

Tanúsítványcsomag létrehozása VMware-titkosításhoz

A KMS-fürt létrehozása a vSphere-ben