Configurazione della crittografia vSAN mediante HyTrust KeyControl
Un'opzione per criptare i dati at-rest utilizzando la crittografia vSAN consiste nell'utilizzare HyTrust KeyControl come Key Management Service esterno (KMS). A eseguire il deployment di HyTrust KeyControl in Google Cloud, segui i passaggi documento.
Prerequisiti
- Una delle seguenti versioni di vSphere supportate da HyTrust KeyControl:
- vSphere 6.5, 6.6, 6.7 o 7.0
- vSphere Trust Authority 7.0
- Gestione universale delle chiavi per agenti di crittografia compatibili con KMIP
- Autorizzazione Gestisci KMS per vCenter nel tuo cloud privato. Il valore predefinito Il ruolo CloudOwner in VMware Engine dispone di privilegi sufficienti.
- Una licenza valida per HyTrust KeyControl. Il KeyControl di cui è stato eseguito il deployment ha una durata licenza di prova gratuita.
Stabilisci una connessione privata tra il cloud privato e la rete VPC
Identifica un progetto e una rete Virtual Private Cloud (VPC) in Google Cloud in cui prevedi di eseguire il deployment dei nodi HyTrust KeyControl. Configurare una connessione privata tra la rete VPC e il cloud privato.
Crea un'istanza VM che diventerà il nodo KeyControl iniziale nel cluster
- Se non hai già una rete VPC esistente che vuoi utilizzare per il nodo KeyControl, crea una nuova rete VPC.
Nella console Google Cloud, vai alla pagina Immagini.
Fai clic sull'immagine di HyTrust KeyControl.
Fai clic su Crea istanza.
Configura l'istanza:
- In Tipo di macchina, seleziona n1-standard-2 (2 vCPU, 7,5 GB).
- Seleziona Consenti traffico HTTPS.
- In Interfaccia di rete, scegli la rete VPC che vuoi utilizzare. Non potrai modificare questa impostazione in un secondo momento.
- L'indirizzo IP esterno può essere statico o temporaneo. Per utilizzare un indirizzo IP statico indirizzo IP, scegli un IP pubblico creato in precedenza o scegli Crea IP in IP esterno.
- In Crea un indirizzo IP pubblico, inserisci un nome e una descrizione per l'IP. .
Fai clic su OK.
Fai clic su Crea.
Per creare nodi KeyControl aggiuntivi, puoi utilizzare i metadati dell'istanza che hai appena creato. Per visualizzare i metadati dell'istanza, vai alla pagina Istanze VM.
Configura le regole firewall per l'istanza KeyControl
Prima di iniziare a configurare KeyControl, assicurati che le seguenti porte siano aperte per KeyControl dalla rete VPC o da qualsiasi altra rete da cui prevedi di accedere a KeyControl.
Porte richieste
Tipo | Protocollo | Intervallo porte |
---|---|---|
SSH (22) | TCP | 22 |
HTTPS (443) | TCP | 443 |
Regola TCP personalizzata | TCP | 8443 |
Regola UDP personalizzata | UDP | 123 |
Porte aggiuntive
Le seguenti porte sono necessarie se prevedi di utilizzare KeyControl come server KMIP o se desideri utilizzare la funzione di polling SNMP per KeyControl.
Tipo | Protocollo | Porta predefinita |
---|---|---|
KMIP | TCP | 5696 |
SNMP | UDP | 161 |
Per scoprire come configurare il firewall, consulta Tabelle firewall.
Configura il primo nodo KeyControl e inizializza l'interfaccia web KeyControl
Devi configurare l'istanza KeyControl utilizzando SSH prima di poter utilizzare l'interfaccia web di KeyControl per configurare e gestire il cluster KeyControl.
La procedura seguente descrive come configurare il primo nodo KeyControl nel cluster. Assicurati di avere l'ID dell'istanza VM KeyControl e l'IP esterno .
Accedi all'account htadmin sulla tua istanza VM KeyControl.
ssh htadmin@external-ip-address
Quando viene richiesta la password htadmin, inserisci l'ID istanza per KeyControl.
Inserisci una nuova password per l'account di amministrazione del sistema KeyControl htadmin e fai clic su Invio. La password deve contenere almeno 6 caratteri e non può contenere spazi o caratteri non ASCII. Questa password controlla l'accesso alla console di sistema HyTrust KeyControl che consente agli utenti di eseguire alcune attività di amministrazione di KeyControl. Non consente a un utente KeyControl di per accedere all'intero sistema operativo.
Nella schermata System Configuration (Configurazione di sistema), seleziona Install Initial KeyControl (Installa iniziale KeyControl) Nodo e fai clic su Invio.
Esamina la finestra di dialogo di conferma. Questa finestra di dialogo fornisce l'URL pubblico puoi utilizzare con l'interfaccia web KeyControl e l'indirizzo IP privato che che puoi utilizzare per aggiungere altri nodi KeyControl a questo cluster.
Fai clic su Invio.
Per inizializzare l'interfaccia web di KeyControl per questo cluster:
- In un browser web, vai a
https://external-ip-address
, doveexternal-ip-address
è l'IP esterno associato all'istanza KeyControl. - Se richiesto, aggiungi un'eccezione di sicurezza per l'indirizzo IP KeyControl e procedi all'interfaccia web KeyControl.
- Nella pagina di accesso a HyTrust KeyControl, inserisci secroot come nome utente e inserisci l'ID istanza per la password.
- Esamina il Contratto di licenza con l'utente finale (EULA). Fai clic su Accetto per accettare. i termini di licenza.
- Nella pagina Cambia password, inserisci una nuova password per la secroot e fai clic su Aggiorna password.
Nella pagina Configura le impostazioni del server di posta e posta, inserisci il tuo impostazioni email. Se inserisci un indirizzo email, KeyControl invia un'email con la chiave di amministrazione per il nuovo nodo. Inoltre, invia avvisi di sistema a questo .
Fai clic su Continua.
Nella pagina Report automatici sui parametri vitali, specifica se attivare o disattivare i report automatici sui parametri vitali. I report automatici sulle informazioni di base ti consentono di condividere automaticamente informazioni sullo stato del cluster KeyControl con l'assistenza HyTrust.
Se abiliti questo servizio, KeyControl invia periodicamente un messaggio bundle contenente informazioni diagnostiche e sullo stato del sistema a un il server HyTrust L'assistenza HyTrust potrebbe contattarti in modo proattivo se il servizio Vitals identifica problemi con l'integrità del tuo cluster.
Gli amministratori della sicurezza di KeyControl possono attivare o disattivare questo servizio in qualsiasi momento selezionato Impostazioni > Informazioni di base nell'interfaccia web di KeyControl. Per maggiori dettagli, vedi Configurazione dei report automatici vitals.
Fai clic su Salva e continua.
Se utilizzi Internet Explorer, importa il certificato e aggiungi il Indirizzo IP KeyControl all'elenco dei siti attendibili. Verifica che Download > Download di file sia abilitata in Opzioni internet > Sicurezza > Personalizzato di livello.
- In un browser web, vai a
Configura nodi aggiuntivi e aggiungili al cluster esistente (facoltativo)
Dopo aver configurato il primo nodo KeyControl, puoi aggiungere altri nodi da altre zone o regioni. Tutte le informazioni di configurazione del primo nodo nel cluster vengono copiate in tutti i nodi che aggiungi al cluster.
Assicurati di disporre dell'ID istanza per l'istanza VM KeyControl, dell'indirizzo IP esterno associato a quell'istanza VM e dell'indirizzo IP privato di uno dei nodi KeyControl esistenti nel cluster.
Accedi all'account htadmin nell'istanza VM KeyControl.
ssh htadmin@external-ip-address
Quando ti viene richiesta la password htadmin, inserisci l'ID istanza per l'istanza KeyControl che stai configurando.
Inserisci una nuova password per l'account di amministrazione del sistema KeyControl htadmin e fai clic su Invio. La password deve contenere almeno 6 caratteri e non possono contenere spazi o caratteri non ASCII.
Questa password controlla l'accesso alla console di sistema HyTrust KeyControl System consente agli utenti di eseguire alcune attività di amministrazione KeyControl. Non consente a un utente KeyControl di accedere all'intero sistema operativo.
Nella schermata Configurazione di sistema, seleziona Aggiungi nodo KeyControl al cluster esistente e fai clic su Invio.
Digita l'indirizzo IP interno di qualsiasi nodo KeyControl già presente nel cluster e fai clic su Invio. KeyControl avvia la procedura di configurazione iniziale del nodo.
Per trovare l'indirizzo IP interno del nodo esistente, accedi a l'interfaccia web KeyControl e fai clic su Cluster nella barra dei menu in alto. Vai alla scheda Server e controlla l'indirizzo IP nella tabella.
Se in precedenza questo nodo faceva parte del cluster selezionato, KeyControl mostra un messaggio che ti chiede se vuoi cancellare i dati esistenti e partecipare di nuovo nel cluster. Seleziona Sì e fai clic su Invio.
Se questo nodo faceva parte di un cluster diverso o se inizialmente era configurato come unico nodo del cluster, KeyControl ti avvisa che tutti i dati verranno distrutti sul nodo corrente se continui. Seleziona Sì e fai clic su Invio, quindi di nuovo su Invio per confermare l'azione al prompt successivo.
Se richiesto, inserisci una password monouso per questo nodo KeyControl e fai clic su Invio. La password deve contenere almeno 16 caratteri alfanumerici. Non può contenere spazi o caratteri speciali. Questa password è una stringa temporanea utilizzata per criptare la comunicazione iniziale tra questo nodo e il cluster KeyControl esistente. Quando autentichi il nuovo nodo con il cluster esistente, inserisci questa passphrase nell'interfaccia web di KeyControl in modo che il nodo esistente possa decriptare la comunicazione e verificare che la richiesta di adesione sia valida.
Se la procedura guidata riesce a connettersi al nodo KeyControl designato, viene visualizzata la schermata Autenticazione che ti informa che il nodo fa ora parte del cluster, ma deve essere autenticato nell'interfaccia web di KeyControl prima di poter essere utilizzato dal sistema.
Connettiti al nodo nell'interfaccia web di KeyControl. Quando nella schermata Joining KeyControl Cluster viene visualizzato un messaggio che indica che un amministratore del dominio deve autenticare il nuovo nodo, accedi all'interfaccia web di KeyControl su quel nodo e autentica il nuovo server. Dopo che il nodo è stato autenticato, KeyControl continua la procedura di configurazione.
Fai clic su Invio.
Autentica i nuovi nodi KeyControl
Quando aggiungi un nuovo nodo KeyControl a un cluster esistente, devi autenticare il nuovo nodo dall'interfaccia web KeyControl del nodo specificato nella console di sistema del nodo che si unisce. Ad esempio, se hai tre nodi, e ti unisci a un quarto nodo specificando il nodo due, devi autenticare il nuovo dall'interfaccia web del nodo 2. Se provi ad autenticarti da un altro nodo, la procedura non va a buon fine.
- Accedi all'interfaccia web di KeyControl utilizzando un account con Domain Admin privilegiati.
- Nella barra dei menu, fai clic su Cluster.
- Fai clic sulla scheda Server.
- Seleziona il nodo da autenticare. La colonna Stato mostra Join in attesa per tutti i nodi non ancora autenticati.
- Fai clic su Azioni > Autentica.
- Inserisci la password monouso e fai clic su Autentica. Questa passphrase deve corrispondano esattamente alla passphrase specificata al momento dell'installazione del KeyControl. La passphrase è sensibile alle maiuscole.
- Fai clic su Aggiorna e assicurati che lo stato sia Online.
- Se vuoi monitorare l'avanzamento del processo di autenticazione, accedi a alla console della VM KeyControl sul nodo che stai autenticando come htadmin.
Configura le regole firewall tra il tuo cloud privato e la VPC KeyControl
vCenter comunica con HyTrust KeyControl tramite il protocollo KMIP sulla Porta KMIP. Il valore predefinito è TCP 5696. La porta può essere configurata con KeyControl a riga di comando.
- Nella console Google Cloud, fai clic su Rete VPC > Firewall.
- Fai clic su Crea regola firewall.
- Inserisci i dettagli della regola firewall. Consenti all'indirizzo IP di vCenter di possono comunicare con KeyControl sulla porta KMIP.
Configurare vCenter per utilizzare HyTrust KeyControl come KMS esterno
- Configura il server KMIP
- Creare un cluster KMS in vCenter
- Stabilisci una connessione affidabile tra vCenter e KeyControl utilizzando una richiesta CSR generata da vCenter