使用 HyTrust KeyControl 配置 vSAN 加密

使用 vSAN 加密加密静态数据的一种选项是使用 HyTrust KeyControl 作为外部密钥管理服务 (KMS)。如需在 Google Cloud 中部署 HyTrust KeyControl,请按照本文档中的步骤操作。

前提条件

  • HyTrust KeyControl 支持的以下 vSphere 版本之一:
    • vSphere 6.5、6.6、6.7 或 7.0
    • vSphere Trust Authority 7.0
    • 适用于 KMIP 兼容加密代理的通用密钥管理
  • vCenter 在私有云中的管理 KMS 权限。VMware Engine 中的默认 CloudOwner 角色具有足够的权限。
  • 有效的 HyTrust KeyControl 许可。已部署的 KeyControl 拥有 30 天的试用许可。

在私有云与 VPC 网络之间建立专用连接

在 Google Cloud 中确定要在其中部署 HyTrust KeyControl 节点的项目和 Virtual Private Cloud (VPC) 网络。在该 VPC 网络与私有云之间配置专用连接

创建一个将成为集群中的初始 KeyControl 节点的虚拟机实例

  1. 如果您还没有要用于 KeyControl 节点的现有 VPC 网络,请创建一个新的 VPC 网络。
  2. 在 Google Cloud Console 中,转到映像页面。

    转到“映像”页面

  3. 点击 HyTrust KeyControl 映像。

  4. 点击创建实例

  5. 配置实例:

    • 机器类型下,选择 n1-standard-2(2 vCPU, 7.5 GB)
    • 选中允许 HTTPS 流量
    • 网络接口下,选择您要使用的 VPC 网络。您之后无法对此进行更改。
    • 外部 IP 地址可以是静态的也可以是临时的。要使用静态 IP 地址,请选择以前创建的任何公共 IP,或选择外部 IP 下的创建 IP 地址
    • Create public IP address 下,输入 IP 地址的名称和说明。
  6. 点击确定

  7. 点击创建

如需创建其他 KeyControl 节点,您可以使用刚刚创建的实例的元数据。如需查看实例元数据,请转到虚拟机实例页面。

转到“虚拟机实例”页面

为 KeyControl 实例配置防火墙规则

在开始配置 KeyControl 之前,请确保从您的 VPC 网络或计划访问 KeyControl 的任何其他网络为 KeyControl 打开以下端口:

所需端口

类型 协议 端口范围
SSH (22) TCP 22
HTTPS (443) TCP 443
自定义 TCP 规则 TCP 8443
自定义 UDP 规则 UDP 123

其他端口

如果您计划将 KeyControl 用作 KMIP 服务器,或者希望将 SNMP 轮询功能用于 KeyControl,则需要以下端口。

类型 协议 默认端口
KMIP TCP 5696
SNMP UDP 161

如需了解如何设置防火墙,请参阅防火墙表

配置第一个 KeyControl 节点并初始化 KeyControl 网页界面

您需要先使用 SSH 配置 KeyControl 实例,然后才能使用 KeyControl 网页界面配置和维护 KeyControl 集群。

以下过程介绍了如何配置集群中的第一个 KeyControl 节点。确保您拥有 KeyControl 虚拟机实例 ID 和外部 IP 地址。

  1. 登录您的 KeyControl 虚拟机实例上的 htadmin 账号。

    ssh htadmin@external-ip-address
    
  2. 当提示输入 htadmin 密码时,请输入 KeyControl 实例的实例 ID。

  3. 为 KeyControl 系统管理账号 htadmin 输入新密码,然后点击 Enter。密码必须至少包含 6 个字符,并且不能包含空格或任何非 ASCII 字符。该密码可控制对 HyTrust KeyControl 系统控制台的访问权限,该权限使用户能够执行一些 KeyControl 管理任务。该权限不允许 KeyControl 用户访问完整操作系统。

  4. System configuration 屏幕下,选择 Install Initial KeyControl Node 并点击 Enter

  5. 查看确认对话框。此对话框提供了用于 KeyControl 网页界面的公共网址,以及可用于向此集群添加其他 KeyControl 节点的专用 IP 地址。

  6. 点击 Enter

  7. 要初始化此集群的 KeyControl 网页界面,请执行以下操作:

    1. 在网络浏览器中,导航到 https://external-ip-address,其中 external-ip-address 是与 KeyControl 实例关联的外部 IP 地址。
    2. 如果出现提示,请为 KeyControl IP 地址添加安全例外,然后转到 KeyControl 网页界面。
    3. 在 HyTrust KeyControl 登录页面上,输入 secroot 作为用户名,并输入实例 ID 作为密码。
    4. 查看最终用户许可协议 (EULA)。点击我同意以接受许可条款。
    5. Change Password 页面上,为 secroot 账号输入新密码,然后点击 Update Password
    6. Configure E-Mail and Mail Server Settings 页面上,输入您的电子邮件设置。如果输入电子邮件地址,KeyControl 会发送一封包含新节点的管理员密钥的电子邮件。它还会向此电子邮件地址发送系统提醒。

    7. 点击继续

    8. Automatic Vitals Reporting 页面上,指定要启用还是停用自动 Vitals 报告。通过自动 Vitals 报告,您可以与 HyTrust 支持团队自动共享 KeyControl 集群运行状况的相关信息。

      启用此服务后,KeyControl 会定期将包含系统状态和诊断信息的加密包发送给安全的 HyTrust 服务器。如果 Vitals 服务发现您集群的运行状况有问题,HyTrust 支持团队可能会主动与您联系。

      KeyControl Security Admin 可以随时随时启用或停用此服务,方法是在 KeyControl 网页界面中选择设置> Vitals。如需了解详情,请参阅配置自动 Vitals 报告

    9. 点击保存并继续

    10. 如果您使用的是 Internet Explorer,请导入证书,并将 KeyControl IP 地址添加到您的可信站点列表中。请在 Internet Options > Security > Custom Level 下验证 Downloads > File download 选项已启用。

配置其他节点并将其添加到现有集群(可选)

配置第一个 KeyControl 节点后,您可以添加其他地区或区域的更多节点。集群中第一个节点的所有配置信息都会复制到添加到集群的任何节点上。

确保您拥有 KeyControl 虚拟机实例的实例 ID、与该虚拟机实例关联的外部 IP 地址,以及集群中一个现有 KeyControl 节点的专用 IP 地址。

  1. 在 KeyControl 虚拟机实例上登录 htadmin 账号。

      ssh htadmin@external-ip-address
      

  2. 当提示输入 htadmin 密码时,请输入所配置的 KeyControl 实例的实例 ID。

  3. 为 KeyControl 系统管理账号 htadmin 输入新密码,然后点击 Enter。密码必须至少包含 6 个字符,并且不能包含空格或任何非 ASCII 字符。

  4. 该密码可控制对 HyTrust KeyControl 系统控制台的访问权限,该权限使用户能够执行一些 KeyControl 管理任务。它不允许 KeyControl 用户访问完整的操作系统。

  5. System configuration 屏幕中,选择 Add KeyControl node to existing cluster,然后点击 Enter

  6. 输入集群中已存在的任何 KeyControl 节点的内部 IP 地址,然后点击 Enter。KeyControl 会启动节点的初始配置过程。

  7. 要查找现有节点的内部 IP 地址,请登录 KeyControl 网页界面,然后点击顶部菜单栏中的 Cluster。转到服务器标签页并查看表中的 IP 地址。

  8. 如果此节点以前是所选集群的一部分,KeyControl 将显示一条提示,询问您是否要清除现有数据并重新加入集群。选择 Yes,然后点击 Enter

  9. 如果此节点曾经是另一个集群的成员,或者最初配置为集群中的唯一节点,KeyControl 会提示如果您继续操作,当前节点上的所有数据都将被销毁。选择 Yes,点击 Enter,然后在下一次提示时再次点击 Enter 以确认操作。

  10. 如果出现提示,请为此 KeyControl 节点输入一次性密码,然后点击 Enter。密码必须至少包含 16 个字母数字字符。不得包含空格或特殊字符。此密码是一个临时字符串,用于加密此节点与现有 KeyControl 集群之间的初始通信。使用新节点向现有集群进行身份验证时,您需要在 KeyControl 网页界面中输入此密码,以便现有节点可以解密通信并验证加入请求是否有效。

  11. 如果向导可以连接到指定的 KeyControl 节点,它会显示 Authentication 屏幕,通知您该节点现已属于集群,但必须先在 KeyControl 网页界面中进行身份验证,然后才能被系统使用。

  12. 在 KeyControl 网页界面中对节点进行身份验证当 Joining KeyControl Cluster 屏幕显示消息表明网域管理员需要对新节点进行身份验证时,请在该节点上登录 KeyControl 网页界面,并对新服务器进行身份验证。节点完成身份验证后,KeyControl 将继续设置过程。

  13. 点击 Enter

对新 KeyControl 节点进行身份验证

当您向现有集群添加新的 KeyControl 节点时,必须从加入节点的系统控制台中指定的节点的 KeyControl 网页界面对新节点进行身份验证。例如,如果您有三个节点,并通过指定节点 2 来加入第四个节点,则必须从节点 2 的网页界面对新节点进行身份验证。如果您尝试从其他节点进行身份验证,则该进程将失败。

  1. 使用拥有网域管理员权限的账号登录 KeyControl 网页界面。
  2. 在菜单栏中,点击 Cluster
  3. 点击 Servers 标签页。
  4. 选择要进行身份验证的节点。对于所有尚未进行身份验证的节点,Status 列会显示 Join Pending
  5. 点击 Actions > Authenticate
  6. 输入一次性密码,然后点击 Authenticate。此密码必须与您在安装 KeyControl 节点时指定的密码完全匹配。密码区分大小写。
  7. 点击 Refresh 并确保状态为 Online
  8. 如果您想跟踪身份验证进程的进度,请在要验证为 htadmin 的节点上登录 KeyControl 虚拟机控制台。

在专用云与 KeyControl VPC 之间配置防火墙规则

vCenter 通过 KMIP 端口和 KMIP 协议与 HyTrust KeyControl 进行通信。默认端口为 TCP 5696。您可通过 KeyControl 网页界面配置此端口。

  1. 在 Google Cloud Console 中,点击 VPC 网络 > 防火墙
  2. 点击创建防火墙规则
  3. 输入防火墙规则详细信息。允许 vCenter 的 IP 地址在 KMIP 端口上与 KeyControl 进行通信。

配置 vCenter 以使用 HyTrust KeyControl 作为外部 KMS

  1. 配置 KMIP 服务器
  2. 在 vCenter 中创建 KMS 集群
  3. 使用 vCenter 生成的 CSR 在 vCenter 和 KeyControl 之间建立可信连接