Configurazione della crittografia vSAN mediante HyTrust KeyControl

Un'opzione per criptare i dati at-rest utilizzando la crittografia vSAN è utilizzare HyTrust KeyControl come servizio di gestione delle chiavi (KMS) esterno. Per eseguire il deployment di HyTrust KeyControl in Google Cloud, segui i passaggi descritti in questo documento.

Prerequisiti

  • Una delle seguenti versioni di vSphere supportate da HyTrust KeyControl:
    • vSphere 6.5, 6.6, 6.7 o 7.0
    • vSphere Trust Authority 7.0
    • Gestione delle chiavi universale per gli agenti di crittografia compatibili con KMIP
  • Autorizzazione Gestisci KMS per vCenter nel tuo cloud privato. Il valore predefinito Il ruolo CloudOwner in VMware Engine dispone di privilegi sufficienti.
  • Una licenza valida per HyTrust KeyControl. KeyControl di cui è stato eseguito il deployment ha una licenza di prova di 30 giorni.

Stabilisci una connessione privata tra il cloud privato e la rete VPC

Identifica un progetto e una rete Virtual Private Cloud (VPC) in Google Cloud in cui prevedi di eseguire il deployment dei nodi HyTrust KeyControl. Configurare una connessione privata tra la rete VPC e il cloud privato.

Crea un'istanza VM che diventerà il nodo KeyControl iniziale nel tuo cluster

  1. Se non disponi già di una rete VPC esistente, da utilizzare per il nodo KeyControl, crea un nuovo VPC in ogni rete.

  2. Nella console Google Cloud, vai alla pagina Immagini.

    Vai alla pagina Immagini

  3. Fai clic sull'immagine di HyTrust KeyControl.

  4. Fai clic su Crea istanza.

  5. Configura l'istanza:

    • In Tipo di macchina, seleziona n1-standard-2(2 vCPU, 7,5 GB).
    • Seleziona Consenti traffico HTTPS.
    • In Interfaccia di rete, scegli la rete VPC che utilizzi che vuoi usare. Non potrai modificare questa impostazione in un secondo momento.
    • L'indirizzo IP esterno può essere statico o temporaneo. Per utilizzare un indirizzo IP statico indirizzo IP, scegli un IP pubblico creato in precedenza o scegli Crea IP in IP esterno.
    • In Crea indirizzo IP pubblico, inserisci un nome e una descrizione per l'indirizzo IP.

  6. Fai clic su OK.

  7. Fai clic su Crea.

Per creare altri nodi KeyControl, puoi utilizzare i metadati dell'istanza appena creata. Per visualizzare i metadati dell'istanza, vai alla pagina Istanze VM.

Vai alla pagina Istanze VM

Configura le regole firewall per l'istanza KeyControl

Prima di iniziare a configurare KeyControl, assicurati che le seguenti porte siano aperte per KeyControl dalla rete VPC o da qualsiasi altra rete da cui prevedi di accedere a KeyControl.

Porte richieste

Tipo Protocollo Intervallo porte
SSH (22) TCP 22
HTTPS (443) TCP 443
Regola TCP personalizzata TCP 8443
Regola UDP personalizzata UDP 123

Porte aggiuntive

Le seguenti porte sono necessarie se prevedi di utilizzare KeyControl come server KMIP o se vuoi utilizzare la funzionalità di polling SNMP per KeyControl.

Tipo Protocollo Porta predefinita
KMIP TCP 5696
SNMP UDP 161

Per scoprire come configurare il firewall, consulta Tabelle firewall.

Configura il primo nodo KeyControl e inizializza l'interfaccia web di KeyControl

Devi configurare l'istanza KeyControl tramite SSH prima di poter utilizzare Interfaccia web KeyControl per configurare e gestire il tuo cluster KeyControl.

La procedura seguente descrive come configurare il primo nodo KeyControl nel cluster. Assicurati di avere l'ID dell'istanza VM KeyControl e l'IP esterno .

  1. Accedi all'account htadmin sulla tua istanza VM KeyControl.

    ssh htadmin@external-ip-address

  2. Quando ti viene richiesta la password htadmin, inserisci l'ID istanza per l'istanza KeyControl.

  3. Inserisci una nuova password per l'account di amministrazione del sistema KeyControl htadmin e fai clic su Invio. La password deve contenere almeno 6 caratteri e non può contenere spazi o caratteri non ASCII. Questa password controlla l'accesso alla console di sistema HyTrust KeyControl che consente agli utenti di eseguire alcune attività di amministrazione di KeyControl. Non consente a un utente KeyControl di per accedere all'intero sistema operativo.

  4. Nella schermata System Configuration (Configurazione di sistema), seleziona Install Initial KeyControl (Installa iniziale KeyControl) Nodo e fai clic su Invio.

  5. Esamina la finestra di dialogo di conferma. Questa finestra di dialogo fornisce l'URL pubblico puoi utilizzare con l'interfaccia web KeyControl e l'indirizzo IP privato che che puoi utilizzare per aggiungere altri nodi KeyControl a questo cluster.

  6. Fai clic su Invio.

  7. Per inizializzare l'interfaccia web KeyControl per questo cluster:

    1. In un browser web, vai a https://external-ip-address, dove external-ip-address è l'IP esterno associato all'istanza KeyControl.
    2. Se richiesto, aggiungi un'eccezione di sicurezza per l'indirizzo IP di KeyControl e vai all'interfaccia web di KeyControl.
    3. Nella pagina di accesso a HyTrust KeyControl, inserisci secroot come nome utente e inserisci l'ID istanza per la password.
    4. Esamina il Contratto di licenza con l'utente finale (EULA). Fai clic su Accetto per accettare. i termini di licenza.
    5. Nella pagina Cambia password, inserisci una nuova password per l'account secroot e fai clic su Aggiorna password.

    6. Nella pagina Configure E-Mail and Mail Server Settings (Configura le impostazioni email e del server di posta), inserisci le impostazioni email. Se inserisci un indirizzo email, KeyControl invia un'email con la chiave di amministrazione per il nuovo nodo. Inoltre, invia avvisi di sistema a questo indirizzo email.

    7. Fai clic su Continua.

    8. Nella pagina Report automatici sui parametri vitali, specifica se attivare o disattivare i report automatici sui parametri vitali. Report vitals automatici consente di condividere automaticamente informazioni sullo stato del tuo Cluster KeyControl con supporto HyTrust.

      Se abiliti questo servizio, KeyControl invia periodicamente un messaggio bundle contenente informazioni diagnostiche e sullo stato del sistema a un il server HyTrust L'assistenza HyTrust potrebbe contattarti proattivamente nel caso in cui Vitals Service identifica i problemi relativi all'integrità del tuo cluster.

      Gli amministratori di sicurezza di KeyControl possono abilitare o disabilitare questo servizio in qualsiasi momento selezionando Impostazioni > Vitals nell'interfaccia web KeyControl. Per maggiori dettagli, consulta Configurare i report automatici sugli indicatori vitali.

    9. Fai clic su Salva e continua.

    10. Se utilizzi Internet Explorer, importa il certificato e aggiungi il Indirizzo IP KeyControl all'elenco dei siti attendibili. Verifica che Download > Download di file sia abilitata in Opzioni internet > Sicurezza > Personalizzato di livello.

Configura nodi aggiuntivi e aggiungili al cluster esistente (facoltativo)

Dopo aver configurato il primo nodo KeyControl, puoi aggiungere altri nodi da altre zone o regioni. Tutte le informazioni di configurazione dal primo nodo delle tue risorse nel cluster vengono copiate su tutti i nodi che aggiungi al cluster.

Assicurati di avere l'ID istanza per la tua istanza VM KeyControl, il campo l'indirizzo IP associato all'istanza VM e l'indirizzo IP privato di uno dei nodi KeyControl esistenti nel tuo cluster.

  1. Accedi all'account htadmin nell'istanza VM KeyControl.

      ssh htadmin@external-ip-address

  2. Quando ti viene richiesta la password htadmin, inserisci l'ID istanza per l'istanza KeyControl che stai configurando.

  3. Inserisci una nuova password per l'account di amministrazione del sistema KeyControl htadmin e fai clic su Invio. La password deve contenere almeno 6 caratteri e non può contenere spazi o caratteri non ASCII.

  4. Questa password controlla l'accesso alla console di sistema HyTrust KeyControl System consente agli utenti di eseguire alcune attività di amministrazione KeyControl. Non consente a un utente KeyControl di accedere all'intero sistema operativo.

  5. Nella schermata Configurazione di sistema, seleziona Aggiungi nodo KeyControl al cluster esistente e fai clic su Invio.

  6. Digita l'indirizzo IP interno di qualsiasi nodo KeyControl già presente nel cluster e premi Invio. KeyControl avvia il processo di configurazione iniziale nel nodo.

  7. Per trovare l'indirizzo IP interno del nodo esistente, accedi a l'interfaccia web KeyControl e fai clic su Cluster nella barra dei menu in alto. Vai alla scheda Server e controlla l'indirizzo IP nella tabella.

  8. Se in precedenza questo nodo faceva parte del cluster selezionato, KeyControl mostra un messaggio che ti chiede se vuoi cancellare i dati esistenti e partecipare di nuovo nel cluster. Seleziona e fai clic su Invio.

  9. Se questo nodo era membro di un cluster diverso o era originariamente configurato come unico nodo nel cluster, KeyControl ti chiede che tutti se continui, i dati verranno eliminati sul nodo attuale. Seleziona . e premi Invio, poi premi nuovamente Invio per confermare l'azione al prompt successivo.

  10. Se richiesto, inserisci una password monouso per questo nodo KeyControl e fai clic su Invio. La password deve contenere almeno 16 caratteri alfanumerici. it non può contenere spazi o caratteri speciali. Questa password è temporanea stringa utilizzata per crittografare la comunicazione iniziale tra questo nodo e il cluster KeyControl esistente. Quando autentichi il nuovo nodo con cluster esistente, inserisci questa passphrase nell'interfaccia web KeyControl in modo che il nodo esistente possa decriptare la comunicazione e verificare che richiesta di iscrizione valida.

  11. Se la procedura guidata riesce a connettersi al nodo KeyControl designato, viene visualizzata la Autenticazione in cui viene indicato che il nodo fa ora parte della ma devono essere autenticati nell'interfaccia web KeyControl prima possono essere utilizzate dal sistema.

  12. Connettiti al nodo nell'interfaccia web di KeyControl. Quando nella schermata Joining KeyControl Cluster viene visualizzato un messaggio che indica che un amministratore del dominio deve autenticare il nuovo nodo, accedi all'interfaccia web di KeyControl su quel nodo e autentica il nuovo server. Dopo che il nodo è stato autenticato, KeyControl continua la procedura di configurazione.

  13. Fai clic su Invio.

Autentica i nuovi nodi KeyControl

Quando aggiungi un nuovo nodo KeyControl a un cluster esistente, devi eseguire l'autenticazione il nuovo nodo dall'interfaccia web KeyControl del nodo specificato la console di sistema del nodo di join. Ad esempio, se hai tre nodi, e ti unisci a un quarto nodo specificando il nodo due, devi autenticare il nuovo dall'interfaccia web del nodo 2. Se tenti di eseguire l'autenticazione da un da un nodo diverso, il processo non riesce.

  1. Accedi all'interfaccia web di KeyControl utilizzando un account con privilegi di amministratore del dominio.
  2. Nella barra dei menu, fai clic su Cluster.
  3. Fai clic sulla scheda Server.
  4. Seleziona il nodo che vuoi autenticare. La colonna Stato mostra Join in attesa per tutti i nodi non ancora autenticati.
  5. Fai clic su Azioni > Autentica.
  6. Inserisci la password monouso e fai clic su Autentica. Questa passphrase deve corrispondere esattamente alla passphrase specificata durante l'installazione del nodo KeyControl. La passphrase è sensibile alle maiuscole.
  7. Fai clic su Aggiorna e assicurati che lo stato sia Online.
  8. Se vuoi monitorare l'avanzamento della procedura di autenticazione, accedi alla console della VM KeyControl sul nodo di cui stai eseguendo l'autenticazione come htadmin.

Configura le regole firewall tra il tuo cloud privato e la VPC KeyControl

vCenter comunica con HyTrust KeyControl tramite il protocollo KMIP sulla Porta KMIP. Il valore predefinito è TCP 5696. La porta è configurabile dall'interfaccia web di KeyControl.

  1. Nella console Google Cloud, fai clic su Rete VPC > Firewall.
  2. Fai clic su Crea regola firewall.
  3. Inserisci i dettagli della regola firewall. Consenti all'indirizzo IP di vCenter di possono comunicare con KeyControl sulla porta KMIP.

Configura vCenter per utilizzare HyTrust KeyControl come KMS esterno

  1. Configura il server KMIP
  2. Creare un cluster KMS in vCenter
  3. Stabilire una connessione attendibile tra vCenter e KeyControl utilizzando una CSR generata da vCenter