使用 Fortanix KMS 配置 vSAN 加密

如需使用 vSAN 加密对静态数据进行加密，选项之一是使用 Fortanix 密钥管理服务 (KMS)。

准备工作

为了安全起见，请创建一个新的虚拟私有云 (VPC) 网络。您可以通过添加防火墙规则或使用其他访问权限控制方法来控制哪些人有权访问该网络。如果您的项目具有默认 VPC 网络，请不要使用该网络。请使用不同的子网 IP 地址范围创建自己的 VPC 网络，以保证只有您明确创建的防火墙规则在起作用。

按照创建实例模板中的步骤创建一个新的实例模板。
在机器类型下，选择 n1-standard-4（4 个 vCPU，15GB 内存）或更高版本。
1. 在启动磁盘字段中，选择 Ubuntu 16.04 LTS + 200GB SSD。

按照创建代管式实例组中的步骤创建一个代管式实例组，其使用您在上一步中创建的实例模板。

在创建健康检查页面上，检查端口 443。点击创建以创建健康检查。

在创建负载均衡器页面的面向内部或仅限内部字段下，选择仅在我的虚拟机之间。
点击继续以创建新的内部负载均衡器。
在左侧面板中选择后端配置。
1. 选择您创建的新 VPC 网络。
2. 选择您创建的代管式实例组。
在左侧面板中，选择前端配置。
1. 选择您创建的新 VPC 网络。
2. 在内部 IP 下，预留一个内部 IP 地址。
3. 在端口号下，公开端口 443、4445 和 5696。

在创建负载均衡器页面的面向内部或仅限内部下，选择从互联网到我的虚拟机。
点击继续。
在左侧面板中，选择后端配置。
1. 选择地区。
2. 选择您创建的代管式实例组。
3. 选择您创建的健康检查。
在左侧面板中，选择前端配置。
1. 选择您创建的 VPC 网络。
2. 在 IP 字段中，预留一个公共 IP 地址。
3. 在端口号下，公开端口 443、4445 和 5696。

默认情况下，隐式拒绝入站流量 VPC 防火墙规则会阻止与 VPC 网络中虚拟机的未经请求传入连接。

如需允许传入的连接，请为您的虚拟机设置防火墙规则。在与虚拟机建立传入的连接后，防火墙会允许通过此连接的双向流量。

您可以创建防火墙规则，允许对指定端口进行外部访问，或限制同一网络中各虚拟机之间的访问。

添加防火墙规则以允许端口 443、4445 和 5696。根据安全要求，选择您创建的 VPC 网络，并限制来源 IP 地址。

您可以使用 Cloud DNS 为内部和外部负载均衡器创建 DNS。在此页面上，sdkms.vpc.gcloud 是可通过 VPC 网络访问的 Fortanix KMS 的端点，sdkms.external.gcloud 是可通过互联网访问的端点。

在每个虚拟机实例上安装 Fortanix KMS 软件。如需查看相关说明，请参阅 Fortanix Self-Defending KMS 安装指南。如需与 Google Cloud 兼容的安装软件包，请联系 Fortanix 支持团队。

您可以使用 sdkms.external.gcloud 命令访问界面。您可以通过使用 sdkms.vpc.gcloud 访问 VMware 的密钥管理互操作性协议 (KMIP)。

设置对 VMware Engine 的专用服务访问通道并将您的 VPC 网络连接到您的私有云。如需查看相关说明，请参阅设置专用服务访问通道。

在 Fortanix KMS 中，配置新应用。
在应用页面中，点击您刚刚创建的应用的查看凭据。然后，选择用户名/密码标签页，并记下用户名和密码以在 vCenter 中配置 KMS。
在 vCenter 中的 Key Management Server 下，配置内部 IP sdkms.vpc.gcloud。
让 vCenter 信任 Fortanix KMS：
1. 在 vCenter 配置标签页中，点击列出的 Fortanix KMS。
2. 点击建立信任关系，然后点击让 vCenter 信任 KMS。
3. 点击 Trust。
让 Fortanix KMS 信任 vCenter：
1. 点击建立信任关系，然后点击让 KMS 信任 vCenter。
2. 在选择方法下，点击 vCenter 证书。
3. 在下载 vCenter 证书下，点击下载，然后点击完成。
启用 vSAN 加密。
1. 在 vSphere 客户端中，转到集群 > vSAN > 服务。
2. 启用 vSAN 加密。

Fortanix KMS 支持 vSAN 加密和 vCenter 虚拟机加密。防篡改审核日志可记录应用执行的所有加密操作。对于 VSAN 加密，会使用 KMIP 协议在 Fortanix KMS 中创建新的安全密钥。