通过

为 CloudSimple 私有云配置 vSAN 加密

可以配置 vSAN 软件加密功能,以便 CloudSimple 私有云可与在 Azure 虚拟网络中运行的密钥管理服务器配合使用。

使用 vSAN 加密时,VMware 需要使用符合外部 KMIP 1.1 的第三方密钥管理服务器 (KMS) 工具。 可以利用 VMware 认证且可用于 Azure 的任何受支持的 KMS。

本指南介绍如何使用在 Azure 虚拟网络中运行的 HyTrust KeyControl KMS。 类似的方法可用于 vSAN 的任何其他认证第三方 KMS 解决方案。

此 KMS 解决方案要求你:

  • 在 Azure 虚拟网络中安装、配置和管理 VMware 认证的第三方 KMS 工具。
  • 为 KMS 工具提供自己的许可证。
  • 使用 Azure 虚拟网络中运行的第三方 KMS 工具在私有云中配置和管理 vSAN 加密。

KMS 部署方案

KMS 服务器群集在 Azure 虚拟网络中运行,可以通过配置的 Azure ExpressRoute 连接从私有云 vCenter 访问 IP。

..Azure 虚拟网络中的 /media/KMS 群集

如何部署解决方案

部署过程具有以下步骤:

  1. 验证是否满足先决条件
  2. CloudSimple 门户:获取 ExpressRoute 对等连接信息
  3. Azure 门户:将虚拟网络连接到私有云
  4. Azure 门户:在虚拟网络中部署 HyTrust KeyControl 群集
  5. HyTrust WebUI:配置 KMIP 服务器
  6. vCenter UI:将 vSAN 加密配置为在 Azure 虚拟网络中使用 KMS 群集

验证是否满足先决条件

在部署之前验证以下内容:

  • 所选 KMS 供应商、工具和版本位于 vSAN 兼容性列表中。
  • 所选供应商支持在 Azure 中运行的工具版本。
  • KMS 工具的 Azure 版本符合 KMIP 1.1 标准。
  • 已创建 Azure 资源管理器和虚拟网络。
  • 已创建 CloudSimple 私有云。

CloudSimple 门户:获取 ExpressRoute 连接信息

若要继续设置,需要 ExpressRoute 的授权密钥和对等线路 URI 以及对 Azure 订阅的访问权限。 此信息在 CloudSimple 门户的“虚拟网络连接”页上提供。 有关说明,请参阅 设置与私有云的虚拟网络连接。 如果在获取信息时遇到问题,请提出 支持请求

Azure 门户:将虚拟网络连接到私有云

  1. 按照使用 Azure 门户为 ExpressRoute 配置虚拟网络网关中的说明,为虚拟网络创建虚拟网络网关。
  2. 按照 使用门户将虚拟网络连接到 ExpressRoute 电路中的说明,将您的虚拟网络链接到 CloudSimple ExpressRoute 电路。
  3. 使用从 CloudSimple 收到的欢迎电子邮件中收到的 CloudSimple ExpressRoute 线路信息,将虚拟网络链接到 Azure 中的 CloudSimple ExpressRoute 线路。
  4. 输入授权密钥和对等线路 URI,为连接命名,然后单击“ 确定”。

创建虚拟网络时提供 CS 对等线路 URI

Azure 门户:在虚拟网络中的 Azure 资源管理器中部署 HyTrust KeyControl 群集

若要在虚拟网络中的 Azure 资源管理器中部署 HyTrust KeyControl 群集,请执行以下步骤。 有关详细信息,请参阅 HyTrust 文档

  1. 按照 HyTrust 文档中的说明创建具有指定入站规则的 Azure 网络安全组(nsg-hytrust)。
  2. 在 Azure 中生成 SSH 密钥对。
  3. 从 Azure 市场的镜像创建初始 KeyControl 节点。 使用生成的密钥对的公钥,并选择 nsg-hytrust 作为 KeyControl 节点的网络安全组。
  4. 将 KeyControl 的专用 IP 地址转换为静态 IP 地址。
  5. 使用其公共 IP 地址和前面提到的密钥对的私钥通过 SSH 连接到 KeyControl VM。
  6. 在 SSH shell 中出现提示时,选择将 No 节点设置为初始 KeyControl 节点。
  7. 请重复此过程的步骤 3-5,并在系统提示是否添加到现有群集时,选择 Yes 来添加 KeyControl 节点。

HyTrust WebUI:配置 KMIP 服务器

转到 https:// public-ip,其中 public-ip 是 KeyControl 节点 VM 的公共 IP 地址。 请遵循 HyTrust 文档中的这些步骤。

  1. 配置 KMIP 服务器
  2. 为 VMware 加密创建证书捆绑包

vCenter UI:将 vSAN 加密配置为在 Azure 虚拟网络中使用 KMS 群集

按照 HyTrust 说明 在 vCenter 中创建 KMS 群集

在 vCenter 中添加 KMS 群集详细信息

在 vCenter 中,转到 “群集 > 配置 ”并选择 vSAN 的 “常规 ”选项。 启用加密并选择以前添加到 vCenter 的 KMS 群集。

在 vCenter 中启用 vSAN 加密并配置 KMS 群集

参考

蔚蓝

使用 Azure 门户配置 ExpressRoute 的虚拟网络网关

使用门户将虚拟网络连接到 ExpressRoute 线路

HyTrust

HyTrust DataControl 和 Microsoft Azure

配置 KMPI 服务器

为 VMware 加密创建证书捆绑包

在 vSphere 中创建 KMS 群集