設定 AVS 私人雲端的 vSAN 加密

  • 發行項

您可以設定 vSAN 軟體加密功能,讓您的 CloudSimple 私人雲端可搭配在 Azure 虛擬網路中執行的金鑰管理伺服器運作。

使用 vSAN 加密時,VMware 需要使用符合 KMIP 1.1 規範的外部協力廠商金鑰管理伺服器 (KMS) 工具。 您可以利用經 VMware 認證且可在 Azure 使用的任何支援 KMS。

本指南說明如何使用在 Azure 虛擬網路中執行的 HyTrust KeyControl KMS。 類似的方法適用於 vSAN 其他經認證的協力廠商 KMS 解決方案。

此 KMS 解決方案需要您執行下列動作:

  • 在您的 Azure 虛擬網路中安裝、設定及管理 VMWare 認證的協力廠商 KMS 工具。
  • 提供您自己的 KMS 工具授權。
  • 使用在 Azure 虛擬網路中執行的協力廠商 KMS 工具,設定和管理私人雲端中的 vSAN 加密。

KMS 部署案例

KMS 伺服器叢集會在 Azure 虛擬網路中執行,並且可從私人雲端 vCenter 透過設定的 Azure ExpressRoute 連線進行通訊。

Azure 虛擬網路中的 ../media/KMS 叢集

如何部署解決方案

部署流程包括以下步驟:

  1. 確認已滿足必要條件
  2. CloudSimple 入口網站:取得 ExpressRoute 對等互連資訊
  3. Azure 入口網站:將您的虛擬網路連接到私人雲端
  4. Azure 入口網站:在虛擬網路中部署 HyTrust KeyControl 叢集
  5. HyTrust WebUI:設定 KMIP 伺服器
  6. vCenter UI:設定 vSAN 加密以在 Azure 虛擬網路中使用 KMS 叢集

確認符合必要條件

在部署前,請先確認下列事項:

  • 選取的 KMS 廠商、工具和版本包含在 vSAN 相容性清單中。
  • 所選廠商支援的工具版本可在 Azure 中執行。
  • KMS 工具的 Azure 版本符合 KMIP 1.1 規範。
  • 已建立 Azure Resource Manager 和虛擬網路。
  • 已建立 CloudSimple 私人雲端。

CloudSimple 入口網站:取得 ExpressRoute 對等互連資訊

若要繼續設定,您需要 ExpressRoute 的授權金鑰和對等線路 URI,以及 Azure 訂用帳戶的存取權。 此資訊可在 CloudSimple 入口網站的 [虛擬網路連線] 頁面上取得。 如需指示,請參閱設定對私人雲端的虛擬網路連線。 如果您在取得資訊時遇到任何問題,請開啟支援要求

Azure 入口網站:將您的虛擬網路連接到私人雲端

  1. 遵循使用 Azure 入口網站為 ExpressRoute 2039326323虛擬網路閘道中的指示,為您的虛擬網路建立虛擬網路閘道。
  2. 依照使用入口網站將虛擬網路連線到 ExpressRoute 線路中的指示,將您的虛擬網路連結至 CloudSimple ExpressRoute 線路。
  3. 使用 CloudSimple 歡迎電子郵件中的 CloudSimple ExpressRoute 線路資訊,將虛擬網路連結至 Azure 中的 CloudSimple ExpressRoute 線路。
  4. 輸入授權金鑰和對等線路 URI、提供連線名稱,然後按一下 [確認]。

在建立虛擬網路時提供 CS 對等線路 URI

Azure 入口網站:在虛擬網路的 Azure Resource Manager 部署 HyTrust KeyControl 叢集

若要在虛擬網路的 Azure Resource Manager 部署 HyTrust KeyControl 叢集,請執行下列工作。 如需詳細資訊,請參閱 HyTrust 文件

  1. 遵循 HyTrust 文件中的指示,建立具有指定輸入規則的 Azure 網路安全性群組 (nsg-hytrust)。
  2. 在 Azure 中產生 SSH 金鑰組。
  3. 使用 Azure Marketplace 中的映像部署初始 KeyControl 節點。 使用所產生金鑰組的公開金鑰,然後選取 nsg-hytrust 作為 KeyControl 節點的網路安全性群組。
  4. 將 KeyControl 的私人 IP 位址轉換為靜態 IP 位址。
  5. 使用其公用 IP 位址和前述金鑰組的私密金鑰,透過 SSH 連線到 KeyControl VM。
  6. 當 SSH 殼層中出現提示時,選取 No 以將節點設定為初始 KeyControl 節點。
  7. 若要新增其他 KeyControl 節點,請重複此流程的第 3-5 步驟,在新增至現有叢集的提示時,請選取 Yes

HyTrust WebUI:設定 KMIP 伺服器

前往 https://public-ip,其中的 public-ip 是 KeyControl 節點 VM 的公用 IP 位址。 請遵循 HyTrust 文件中的步驟。

  1. 設定 KMIP 伺服器
  2. 建立 VMware 加密的憑證套件組合

vCenter UI:設定 vSAN 加密以在 Azure 虛擬網路中使用 KMS 叢集

請遵循 HyTrust 指示以在 vCenter 中建立 KMS 叢集

在 vCenter 中新增 KMS 叢集詳細資料

在 vCenter 中,移至 [叢集] > [設定],然後為 vSAN 選取 [一般] 選項。 啟用加密,然後選取先前新增至 vCenter 的 KMS 叢集。

在 vCenter 中啟用 vSAN 加密並設定 KMS 叢集

參考資料

Azure

使用 Azure 入口網站為 ExpressRoute 設定虛擬網路閘道

使用入口網站將虛擬網路連線到 ExpressRoute 線路

HyTrust

HyTrust DataControl 和 Microsoft Azure

設定 KMPI 伺服器

建立 VMware 加密的憑證套件組合

在 vSphere 中建立 KMS 叢集