vSAN 암호화를 사용하여 저장 데이터를 암호화하는 한 가지 옵션은 Fortanix 키 관리 서비스(KMS)를 사용하는 것입니다.
시작하기 전에
Google Cloud 프로젝트를 만들거나 기존 프로젝트를 사용합니다.
n1-standard-4 이상의 가상 머신(VM) 인스턴스가 3개 이상 있는지 확인합니다.
Google Cloud에 Fortanix KMS 배포
VPC 네트워크 만들기
보안상의 이유로 새 Virtual Private Cloud(VPC) 네트워크를 만듭니다. 방화벽 규칙을 추가하거나 다른 액세스 제어 방법을 사용하여 액세스 권한이 있는 사용자를 제어할 수 있습니다. 프로젝트에 기본 VPC 네트워크가 있더라도 이를 사용하지 마세요. 대신 명시적으로 만든 방화벽 규칙만 적용되도록 다른 서브넷 IP 범위로 자체 VPC 네트워크를 직접 만듭니다.
상태 확인 만들기 페이지에서 포트 443을 확인합니다. 만들기를 클릭하여 상태 확인을 만듭니다.
내부 TCP 부하 분산기 만들기
부하 분산기 만들기 페이지의 내부 방향 또는 내부 전용 필드에서 VM 사이에서만 분산을 선택합니다.
계속을 클릭하여 내부 부하 분산기를 새로 만듭니다.
왼쪽 패널에서 백엔드 구성을 선택합니다.
만든 새 VPC 네트워크를 선택합니다.
생성한 관리형 인스턴스 그룹을 선택합니다.
왼쪽 패널에서 프런트엔드 구성을 선택합니다.
만든 새 VPC 네트워크를 선택합니다.
내부 IP에서 내부 IP 주소를 예약합니다.
포트 번호에서 포트 443, 4445, 5696을 노출합니다.
외부 부하 분산기 만들기
부하 분산기 만들기 페이지의 내부 방향 또는 내부 전용 아래에서 인터넷 트래픽을 VM으로 분산 옵션을 선택합니다.
계속을 클릭합니다.
왼쪽 패널에서 백엔드 구성을 선택합니다.
리전 선택
생성한 관리형 인스턴스 그룹을 선택합니다.
생성된 상태 확인을 선택합니다.
왼쪽 패널에서 프런트엔드 구성을 선택합니다.
만든 VPC 네트워크를 선택합니다.
IP 필드에 공개 IP 주소를 예약합니다.
포트 번호에서 포트 443, 4445, 5696을 노출합니다.
방화벽 규칙 추가
기본적으로 암시적 인그레스 거부 VPC 네트워크 방화벽 규칙은 VPC 네트워크의 VM에 대한 원치 않는 수신 연결을 차단합니다.
수신되는 연결을 허용하려면 VM에 대해 방화벽 규칙을 설정합니다. VM에 수신되는 연결이 설정되면 이 연결을 통한 양방향 트래픽이 허용됩니다.
동일한 네트워크에서 지정된 포트에 대한 외부 액세스를 허용하거나 VM 간 액세스를 제한하는 방화벽 규칙을 만들 수 있습니다.
포트 443, 4445, 5696을 허용하는 방화벽 규칙을 추가합니다. 만든 VPC 네트워크를 선택하고 보안 요구사항에 따라 소스 IP를 제한합니다.
DNS 만들기
Cloud DNS를 사용하여 내부 및 외부 부하 분산기의 DNS를 만들 수 있습니다. 이 페이지에서 sdkms.vpc.gcloud는 VPC 네트워크에서 연결할 수 있는 Fortanix KMS의 엔드포인트이고 sdkms.external.gcloud는 인터넷에서 연결할 수 있는 엔드포인트입니다.
Fortanix KMS 다운로드 및 설치
각 VM 인스턴스에 Fortanix KMS 소프트웨어를 설치합니다. 자세한 내용은 Fortanix Self-Defending KMS 설치 가이드를 참조하세요.
Google Cloud와 호환되는 설치 패키지의 경우 Fortanix 지원팀에 문의하세요.
UI/KMIP 액세스 구성
UI는 sdkms.external.gcloud 명령어를 사용하여 액세스할 수 있습니다. sdkms.vpc.gcloud를 사용하여 VMware의 키 관리 상호 운용성 프로토콜(KMIP)에 액세스할 수 있습니다.
비공개 서비스 액세스 설정
VMware Engine에 대한 비공개 서비스 액세스를 설정하고 VPC 네트워크를 프라이빗 클라우드에 연결합니다. 자세한 내용은 비공개 서비스 액세스 설정을 참조하세요.
vCenter 및 Fortanix KMS 간의 신뢰 설정
Fortanix KMS에서 새 앱을 구성합니다.
애플리케이션 페이지에서 방금 만든 앱의 사용자 인증 정보 보기를 클릭합니다. 그런 다음 사용자 이름/비밀번호 탭을 선택하고 사용자 이름과 비밀번호를 입력하여 vCenter에서 KMS를 구성합니다.
vCenter의 키 관리 서버에서 내부 IP sdkms.vpc.gcloud를 구성합니다.
vCenter에서 Fortanix KMS를 신뢰하도록 만듭니다.
vCenter 구성 탭에서 나열된 Fortanix KMS를 클릭합니다.
신뢰 설정을 클릭한 후 vCenter를 신뢰할 수 있는 KMS로 지정을 클릭합니다.
Trust(트러스트)를 클릭합니다.
Fortanix KMS에서 vCenter를 신뢰하도록 만듭니다.
트러스트 설정을 클릭한 후 KMS에서 vCenter를 신뢰하도록 만들기를 클릭합니다.
방법 선택에서 vCenter 인증서를 클릭합니다.
vCenter 인증서 다운로드에서 다운로드를 클릭한 다음 완료를 클릭합니다.
vSAN 암호화 사용 설정
vSphere 클라이언트에서 클러스터 > vSAN > 서비스로 이동합니다.
vSAN 암호화 사용 설정
Fortanix KMS는 vSAN 암호화 및 vCenter VM 암호화에 사용할 수 있습니다. 변조 방지 감사 로그는 애플리케이션에서 수행된 모든 암호화 작업을 캡처합니다. VSAN 암호화의 경우, 새 보안 키는 KMIP 프로토콜을 사용하여 Fortanix KMS에 생성됩니다.
[[["이해하기 쉬움","easyToUnderstand","thumb-up"],["문제가 해결됨","solvedMyProblem","thumb-up"],["기타","otherUp","thumb-up"]],[["이해하기 어려움","hardToUnderstand","thumb-down"],["잘못된 정보 또는 샘플 코드","incorrectInformationOrSampleCode","thumb-down"],["필요한 정보/샘플이 없음","missingTheInformationSamplesINeed","thumb-down"],["번역 문제","translationIssue","thumb-down"],["기타","otherDown","thumb-down"]],["최종 업데이트: 2025-09-04(UTC)"],[],[],null,["# Configuring vSAN encryption using Fortanix KMS\n==============================================\n\nTo encrypt data at rest using [vSAN encryption](/vmware-engine/docs/vmware-ecosystem/howto-vsan-encryption), one\noption is to use the Fortanix Key Management Service (KMS).\n\nBefore you begin\n----------------\n\n- Create a Google Cloud project or use an existing one.\n- Verify that you have at least three `n1-standard-4` or higher virtual machine (VM) instances.\n\nDeploy Fortanix KMS on Google Cloud\n-----------------------------------\n\n### Create a VPC network\n\nFor security purposes, create a new Virtual Private Cloud (VPC) network. You\ncan control who has access by adding [firewall rules](/vmware-engine/docs/concepts-firewall-tables)\nor by using another [access control method](/vmware-engine/docs/concepts-permission-model). If your\nproject has a default VPC network, don't use it. Instead,\ncreate your own VPC network with a different subnet IP range so\nthat the only firewall rules in effect are those that you create explicitly.\n\n### Create a VM instance template\n\n1. Follow the steps in [Creating instance templates](/compute/docs/instance-templates/create-instance-templates) to create a new instance template.\n2. Under **Machine type** , select **n1-standard-4 (4 vCPU, 15GB memory)** or higher.\n 1. In the **Boot disk** field, select **Ubuntu 16.04 LTS + 200GB SSD**.\n\n### Create a managed instance group\n\nUsing the steps in [Creating managed instance groups](/compute/docs/instance-groups/creating-groups-of-managed-instances),\ncreate a managed instance group that uses the instance template you created in\nthe previous step.\n\n- Disable [autoscaling](/compute/docs/autoscaler).\n- Under **Number of instances**, enter the number of Fortanix KMS cluster nodes you want.\n\n### Create a health check\n\nOn the **Create a health check** page, check for port 443. Click **Create** to\ncreate a health check.\n\n### Create an internal TCP load balancer\n\n1. On the **Create a load balancer** page, under the **Internal facing or\n internal only** field, select **Only between my VMs**.\n2. Click **Continue** to create a new internal load balancer.\n3. Select **Backend configuration** in the left panel.\n 1. Select the new VPC network that you created.\n 2. Select the managed instance group that you created.\n4. In the left panel, select **Frontend configuration** .\n 1. Select the new VPC network that you created.\n 2. Under **Internal IP**, reserve an internal IP address.\n 3. Under **Port number**, expose ports 443, 4445, and 5696.\n\n### Create an external load balancer\n\n1. On the **Create a load balancer** page, under **Internal facing or internal\n only** , select **From internet to my VMs**.\n2. Click **Continue**.\n3. In the left panel, select **Backend configuration** .\n 1. Select the **Region**.\n 2. Select the managed instance group that you created.\n 3. Select the health check that you created.\n4. In the left panel, select **Frontend configuration** .\n 1. Select the VPC network that you created.\n 2. Reserve a public IP address in the **IP** field.\n 3. Under **Port number**, expose ports 443, 4445, and 5696.\n\n### Add a firewall rule\n\nBy default, the [implied deny ingress](/vpc/docs/firewalls#default_firewall_rules)\nVPC network firewall rule blocks unsolicited incoming\nconnections to VMs in the VPC network.\n\nTo allow incoming connections, set up a firewall rule for your\nVM. After an incoming connection is established with a VM, traffic is permitted\nin both directions over that connection.\n\nYou can [create a firewall rule](/vmware-engine/docs/concepts-firewall-tables) to allow external\naccess to specified ports, or to restrict access between VMs on the same\nnetwork.\n\nAdd a firewall rule to allow the ports 443, 4445, and 5696. Select the\nVPC network you created and restrict the source IP, based on\nyour security requirements.\n\n### Create a DNS\n\nYou can create a DNS for internal and external load balancers by using\n[Cloud DNS](/dns/docs). On this page, `sdkms.vpc.gcloud` is the\nendpoint of the Fortanix KMS that's reachable from the VPC\nnetwork and `sdkms.external.gcloud` is the endpoint that's reachable from the\ninternet.\n\n### Download and install Fortanix KMS\n\nInstall the Fortanix KMS software on each VM instance. For instructions, see the\n[Fortanix Self-Defending KMS installation guide](https://support.fortanix.com/hc/en-us/articles/360043996952-Using-Fortanix-Self-Defending-KMS-For-VMware-Encryption-on-GCP#4.0VPCPeeringwithGCVE-VPC).\nFor the installation package compatible with Google Cloud, contact Fortanix\nSupport.\n\n### Configure UI/KMIP access\n\nThe UI can be accessed by using the `sdkms.external.gcloud` command. The Key\nManagement Interoperability Protocol (KMIP) for VMware can be accessed by using\n`sdkms.vpc.gcloud`.\n\nSet up private services access\n------------------------------\n\nSet up private services access to VMware Engine and connect your\nVPC network to your private cloud. For instructions, see\n[Setting up private services access](/vmware-engine/docs/networking/howto-setup-private-service-access).\n\nEstablish trust between vCenter and Fortanix KMS\n------------------------------------------------\n\n1. In Fortanix KMS, configure a new app.\n2. In the **Applications** page, click **View credentials** for the app that you just created. Then, select the **Username/Password** tab and note the username and password to configure KMS in vCenter.\n3. In vCenter under **Key Management Servers** , configure internal IP `sdkms.vpc.gcloud`.\n4. Make vCenter trust Fortanix KMS:\n 1. In the vCenter **Configure** tab, click the listed Fortanix KMS.\n 2. Click **Establish trust** , then click **Make vCenter trust KMS**.\n 3. Click **Trust**.\n5. Make Fortanix KMS trust vCenter:\n 1. Click **Establish trust** , then click **Make KMS trust vCenter**.\n 2. Under **Choose a method** , click **vCenter certificate**.\n 3. Under **Download vCenter certificate** , click **Download** , then click **Done**.\n6. Enable vSAN encryption.\n 1. In the vSphere client, go to **Cluster \\\u003e vSAN \\\u003e Services**.\n 2. Enable vSAN encryption.\n\nFortanix KMS is ready for use with vSAN encryption and vCenter VM encryption. A\ntamper-proof audit log captures all the crypto operations performed by the\napplication. For VSAN encryption, new security keys are created in Fortanix\nKMS using the KMIP protocol."]]