VSAN-versleuteling configureren voor CloudSimple-privécloud

U kunt de functie vSAN-softwareversleuteling configureren, zodat uw CloudSimple-privécloud kan werken met een sleutelbeheerserver die wordt uitgevoerd in uw virtuele Azure-netwerk.

VMware vereist het gebruik van een extern KMIP 1.1-compatibel kms-hulpprogramma (Key Management Server) van derden bij het gebruik van vSAN-versleuteling. U kunt gebruikmaken van elke ondersteunde KMS die is gecertificeerd door VMware en beschikbaar is voor Azure.

In deze handleiding wordt beschreven hoe u KmS van HyTrust KeyControl gebruikt die wordt uitgevoerd in een virtueel Azure-netwerk. Een vergelijkbare benadering kan worden gebruikt voor elke andere gecertificeerde KMS-oplossing van derden voor vSAN.

Voor deze KMS-oplossing moet u het volgende doen:

• Installeer, configureer en beheer een VMware-gecertificeerd KMS-hulpprogramma van derden in uw virtuele Azure-netwerk.
• Geef uw eigen licenties op voor het KMS-hulpprogramma.
• Configureer en beheer vSAN-versleuteling in uw privécloud met behulp van het KMS-hulpprogramma van derden dat wordt uitgevoerd in uw virtuele Azure-netwerk.

KMS-implementatiescenario

Het KMS-servercluster wordt uitgevoerd in uw virtuele Azure-netwerk en is bereikbaar via het vCenter van de privécloud via de geconfigureerde Azure ExpressRoute-verbinding.

De oplossing implementeren

Het implementatieproces bestaat uit de volgende stappen:

1. Controleren of aan de vereisten wordt voldaan
2. CloudSimple-portal: Informatie over ExpressRoute-peering verkrijgen
3. Azure Portal: Uw virtuele netwerk verbinden met de privécloud
4. Azure Portal: Een HyTrust KeyControl-cluster implementeren in uw virtuele netwerk
5. HyTrust WebUI: KMIP-server configureren
6. vCenter UI: vSAN-versleuteling configureren voor het gebruik van KMS-cluster in uw virtuele Azure-netwerk

Controleren of aan vereisten wordt voldaan

Controleer het volgende vóór de implementatie:

• De geselecteerde KMS-leverancier, -hulpprogramma en -versie staan op de vSAN-compatibiliteitslijst.
• De geselecteerde leverancier ondersteunt een versie van het hulpprogramma om uit te voeren in Azure.
• De Azure-versie van het KMS-hulpprogramma is KMIP 1.1-compatibel.
• Er zijn al een Azure-Resource Manager en een virtueel netwerk gemaakt.
• Er is al een CloudSimple-privécloud gemaakt.

CloudSimple-portal: Informatie over ExpressRoute-peering verkrijgen

Als u wilt doorgaan met de installatie, hebt u de autorisatiesleutel en de URI van het peercircuit voor ExpressRoute plus toegang tot uw Azure-abonnement nodig. Deze informatie is beschikbaar op de pagina Virtual Network Connection in de CloudSimple-portal. Zie Een virtuele netwerkverbinding met de privécloud instellen voor instructies. Als u problemen ondervindt bij het verkrijgen van de informatie, opent u een ondersteuningsaanvraag.

Azure Portal: uw virtuele netwerk verbinden met uw privécloud

1. Maak een virtuele netwerkgateway voor uw virtuele netwerk door de instructies te volgen in Een virtuele netwerkgateway configureren voor ExpressRoute met behulp van de Azure Portal.
2. Koppel uw virtuele netwerk aan het CloudSimple ExpressRoute-circuit door de instructies te volgen in Een virtueel netwerk verbinden met een ExpressRoute-circuit met behulp van de portal.
3. Gebruik de informatie van het CloudSimple ExpressRoute-circuit die u hebt ontvangen in uw welkomst-e-mail van CloudSimple om uw virtuele netwerk te koppelen aan het CloudSimple ExpressRoute-circuit in Azure.
4. Voer de autorisatiesleutel en de URI van het peercircuit in, geef de verbinding een naam en klik op OK.

Azure Portal: Een HyTrust KeyControl-cluster implementeren in de Azure Resource Manager in uw virtuele netwerk

Voer de volgende taken uit om een HyTrust KeyControl-cluster te implementeren in de Azure Resource Manager in uw virtuele netwerk. Zie de HyTrust-documentatie voor meer informatie.

1. Maak een Azure-netwerkbeveiligingsgroep (nsg-hytrust) met opgegeven regels voor inkomend verkeer door de instructies in de HyTrust-documentatie te volgen.
2. Genereer een SSH-sleutelpaar in Azure.
3. Implementeer het eerste KeyControl-knooppunt vanuit de installatiekopieën in Azure Marketplace. Gebruik de openbare sleutel van het sleutelpaar dat is gegenereerd en selecteer nsg-hytrust als de netwerkbeveiligingsgroep voor het knooppunt KeyControl.
4. Converteer het privé-IP-adres van KeyControl naar een statisch IP-adres.
5. SSH naar de KeyControl-VM met behulp van het openbare IP-adres en de persoonlijke sleutel van het eerder genoemde sleutelpaar.
6. Wanneer u hierom wordt gevraagd in de SSH-shell, selecteert u No om het knooppunt in te stellen als het eerste KeyControl-knooppunt.
7. Voeg extra KeyControl-knooppunten toe door stap 3-5 van deze procedure te herhalen en te Yes selecteren wanneer u wordt gevraagd of u aan een bestaand cluster wilt toevoegen.

HyTrust WebUI: de KMIP-server configureren

Ga naar https:// public-ip, waarbij public-ip het openbare IP-adres is van de KeyControl-knooppunt-VM. Volg deze stappen in de HyTrust-documentatie.

1. Een KMIP-server configureren
2. Een certificaatbundel maken voor VMware-versleuteling

vCenter UI: vSAN-versleuteling configureren voor het gebruik van KMS-cluster in uw virtuele Azure-netwerk

Volg de HyTrust-instructies voor het maken van een KMS-cluster in vCenter.

Ga in vCenter naar Cluster > configureren en selecteer de optie Algemeen voor vSAN. Schakel versleuteling in en selecteer het KMS-cluster dat eerder aan vCenter is toegevoegd.

Referenties

Azure

Configureer een virtuele netwerkgateway voor ExpressRoute met behulp van de Azure Portal

Een virtueel netwerk verbinden aan een ExpressRoute-circuit met behulp van de portal

HyTrust

HyTrust DataControl en Microsoft Azure

Een KMPI-server configureren

Een certificaatbundel maken voor VMware-versleuteling

Het KMS-cluster maken in vSphere