Halaman ini diterjemahkan oleh Cloud Translation API.

Mengonfigurasi enkripsi vSAN menggunakan HyTrust KeyControl

Salah satu opsi untuk mengenkripsi data dalam penyimpanan menggunakan enkripsi vSAN adalah menggunakan HyTrust KeyControl sebagai layanan pengelolaan kunci enkripsi (KMS) eksternal. Untuk men-deploy HyTrust KeyControl di Google Cloud, gunakan langkah-langkah dalam dokumen ini.

Prasyarat

Salah satu versi vSphere berikut yang didukung oleh HyTrust KeyControl:
- vSphere 6.5, 6.6, 6.7, atau 7.0
- vSphere Trust Authority 7.0
- Pengelolaan kunci universal untuk agen enkripsi yang kompatibel dengan KMIP
Izin Kelola KMS untuk vCenter di cloud pribadi Anda. Peran CloudOwner default di VMware Engine memiliki hak istimewa yang memadai.
Lisensi yang valid untuk HyTrust KeyControl. KeyControl yang di-deploy memiliki lisensi uji coba selama 30 hari.

Membuat koneksi pribadi antara cloud pribadi dan jaringan VPC

Identifikasi project dan jaringan Virtual Private Cloud (VPC) di Google Cloud tempat Anda berencana men-deploy node HyTrust KeyControl. Konfigurasikan koneksi pribadi antara jaringan VPC tersebut dan cloud pribadi Anda.

Buat instance VM yang akan menjadi node KeyControl awal di cluster Anda

Jika Anda belum memiliki jaringan VPC yang ingin digunakan untuk node KeyControl, buat jaringan VPC baru.
Di Konsol Google Cloud, buka halaman Images.

Membuka halaman Images
Klik image HyTrust KeyControl.
Klik Create instance.
Konfigurasikan instance:
- Di bagian Machine type, pilih n1-standard-2(2 vCPU, 7.5 GB).
- Centang Izinkan traffic HTTPS.
- Di bagian Network interface, pilih jaringan VPC yang ingin Anda gunakan. Anda tidak dapat mengubahnya nanti.
- Alamat IP eksternal dapat bersifat statis atau sementara. Untuk menggunakan alamat IP statis, pilih IP publik yang dibuat sebelumnya atau pilih Create IP address di bagian External IP.
- Di bagian Create public IP address, masukkan nama dan deskripsi untuk alamat IP.
Klik Oke.
Klik Create.

Untuk membuat node KeyControl tambahan, Anda dapat menggunakan metadata dari instance yang baru saja Anda buat. Untuk melihat metadata instance, buka halaman Instance VM.

Buka halaman VM Instances

Mengonfigurasi aturan firewall untuk instance KeyControl

Sebelum Anda mulai mengonfigurasi KeyControl, pastikan port berikut terbuka untuk KeyControl dari jaringan VPC Anda atau dari jaringan lain yang akan Anda gunakan untuk mengakses KeyControl.

Port yang diperlukan

Jenis	Protokol	Rentang port
SSH (22)	TCP	22
HTTPS (443)	TCP	443
Aturan TCP Kustom	TCP	8443
Aturan UDP Kustom	UDP	123

Port tambahan

Port berikut diperlukan jika Anda berencana menggunakan KeyControl sebagai server KMIP atau jika Anda ingin menggunakan fitur polling SNMP untuk KeyControl.

Jenis	Protokol	Port default
KMIP	TCP	5696
SNMP	UDP	161

Untuk mempelajari cara menyiapkan firewall, lihat Tabel firewall.

Mengonfigurasi node KeyControl pertama dan melakukan inisialisasi antarmuka web KeyControl

Anda perlu mengonfigurasi instance KeyControl menggunakan SSH sebelum dapat menggunakan antarmuka web KeyControl untuk mengonfigurasi dan mengelola cluster KeyControl.

Prosedur berikut menjelaskan cara mengonfigurasi node KeyControl pertama di cluster. Pastikan Anda memiliki ID instance VM KeyControl dan alamat IP eksternal.

Login ke akun htadmin di instance VM KeyControl Anda.
```
ssh htadmin@external-ip-address
```
Saat diminta memasukkan sandi htadmin, masukkan ID instance untuk instance KeyControl Anda.
Masukkan sandi baru untuk akun administrasi sistem KeyControl htadmin, lalu klik Enter. Sandi harus berisi minimal 6 karakter dan tidak boleh berisi spasi atau karakter non-ASCII. Sandi ini mengontrol akses ke Konsol Sistem HyTrust KeyControl yang memungkinkan pengguna melakukan beberapa tugas administrasi KeyControl. Hal ini tidak mengizinkan pengguna KeyControl untuk mengakses sistem operasi lengkap.

Penting: Simpan sandi ini di tempat yang aman. Jika kehilangan sandi, Anda harus menghubungi Dukungan HyTrust. Untuk alasan keamanan, KeyControl tidak menyediakan mekanisme pemulihan sandi yang dapat diakses pengguna.
Di layar Konfigurasi sistem, pilih Instal Node KeyControl Awal, lalu klik Enter.
Tinjau dialog konfirmasi. Dialog ini menyediakan URL publik yang dapat Anda gunakan dengan antarmuka web KeyControl dan alamat IP pribadi yang dapat Anda gunakan jika ingin menambahkan node KeyControl lain ke cluster ini.
Klik Enter.
Untuk melakukan inisialisasi antarmuka web KeyControl untuk cluster ini:
1. Di browser web, buka https://external-ip-address, dengan external-ip-address adalah alamat IP eksternal yang terkait dengan instance KeyControl.
2. Jika diminta, tambahkan pengecualian keamanan untuk alamat IP KeyControl dan lanjutkan ke antarmuka web KeyControl.
3. Di halaman login HyTrust KeyControl, masukkan secroot untuk nama pengguna dan masukkan ID instance untuk sandi.
4. Tinjau EULA (perjanjian lisensi pengguna akhir). Klik Saya Setuju untuk menyetujui persyaratan lisensi.
5. Di halaman Ubah Sandi, masukkan sandi baru untuk akun secroot, lalu klik Perbarui Sandi.
6. Di halaman Configure E-Mail and Mail Server Settings, masukkan setelan email Anda. Jika Anda memasukkan alamat email, KeyControl akan mengirimkan email dengan kunci admin untuk node baru. Sistem juga akan mengirimkan pemberitahuan sistem ke alamat email ini.
  
  Catatan: Untuk menonaktifkan pemberitahuan melalui email, centang Nonaktifkan notifikasi email. Anda mendownload kunci admin dari tab Settings di antarmuka web KeyControl. Anda harus mendownload dan menyimpan kunci admin untuk menyelesaikan beberapa operasi administratif.
7. Klik Lanjutkan.
8. Di halaman Automatic Vitals Reporting, tentukan apakah Anda ingin mengaktifkan atau menonaktifkan pelaporan data penting otomatis. Pelaporan tanda vital otomatis memungkinkan Anda membagikan informasi tentang kondisi cluster KeyControl secara otomatis kepada Dukungan HyTrust.
  
  Jika Anda mengaktifkan layanan ini, KeyControl akan mengirimkan paket terenkripsi yang berisi status sistem dan informasi diagnostik secara berkala ke server HyTrust yang aman. Dukungan HyTrust mungkin akan menghubungi Anda secara proaktif jika Layanan Vitals mengidentifikasi masalah pada kondisi cluster Anda.
  
  Admin Keamanan KeyControl dapat mengaktifkan atau menonaktifkan layanan ini kapan saja dengan memilih Setelan > Vitals di antarmuka web KeyControl. Untuk mengetahui detailnya, lihat Mengonfigurasi Pelaporan Vitals Otomatis.
9. Klik Simpan & lanjutkan.
10. Jika Anda menggunakan Internet Explorer, impor sertifikat dan tambahkan alamat IP KeyControl ke daftar situs tepercaya. Pastikan opsi Download > File download diaktifkan di bagian Internet Options > Security > Custom Level.

Mengonfigurasi node tambahan dan menambahkannya ke cluster yang ada (opsional)

Setelah node KeyControl pertama dikonfigurasi, Anda dapat menambahkan node tambahan dari zona atau region lain. Semua informasi konfigurasi dari node pertama di cluster Anda akan disalin ke node apa pun yang Anda tambahkan ke cluster.

Pastikan Anda memiliki ID instance untuk instance VM KeyControl, alamat IP eksternal yang terkait dengan instance VM tersebut, dan alamat IP pribadi salah satu node KeyControl yang ada di cluster Anda.

Login ke akun htadmin di instance VM KeyControl Anda.
```
  ssh htadmin@external-ip-address
  
```
Saat diminta memasukkan sandi htadmin, masukkan ID instance untuk instance KeyControl yang Anda konfigurasi.
Masukkan sandi baru untuk akun administrasi sistem KeyControl htadmin, lalu klik Enter. Sandi harus berisi minimal 6 karakter dan tidak boleh berisi spasi atau karakter non-ASCII.
Sandi ini mengontrol akses ke Konsol Sistem HyTrust KeyControl yang memungkinkan pengguna melakukan beberapa tugas administrasi KeyControl. Tindakan ini tidak memungkinkan pengguna KeyControl mengakses sistem operasi secara penuh.

Penting: Simpan sandi ini di tempat yang aman. Jika kehilangan sandi, Anda harus menghubungi Dukungan HyTrust. Untuk alasan keamanan, KeyControl tidak menyediakan mekanisme pemulihan sandi yang dapat diakses pengguna.
Di layar Konfigurasi sistem, pilih Tambahkan node KeyControl ke cluster yang ada, lalu klik Enter.
Ketik alamat IP internal node KeyControl yang sudah ada di cluster, lalu klik Enter. KeyControl memulai proses konfigurasi awal untuk node.
Untuk menemukan alamat IP internal untuk node yang ada, login ke antarmuka web KeyControl, lalu klik Cluster di panel menu atas. Buka tab Server dan lihat alamat IP di tabel.
Jika node ini sebelumnya merupakan bagian dari cluster yang dipilih, KeyControl akan menampilkan perintah yang menanyakan apakah Anda ingin menghapus data yang ada dan bergabung kembali ke cluster. Pilih Ya, lalu klik Enter.
Jika node ini adalah anggota cluster yang berbeda, atau awalnya dikonfigurasi sebagai satu-satunya node dalam cluster, KeyControl akan memberi tahu Anda bahwa semua data akan dihancurkan di node saat ini jika Anda melanjutkan. Pilih Yes dan klik Enter, lalu klik Enter lagi untuk mengonfirmasi tindakan pada perintah berikutnya.
Jika diminta, masukkan sandi sekali pakai untuk node KeyControl ini, lalu klik Enter. Sandi harus berisi minimal 16 karakter alfanumerik. Nama tersebut tidak boleh berisi spasi atau karakter khusus. Sandi ini adalah string sementara yang digunakan untuk mengenkripsi komunikasi awal antara node ini dan cluster KeyControl yang ada. Saat mengautentikasi node baru dengan cluster yang ada, Anda memasukkan frasa sandi ini di antarmuka web KeyControl sehingga node yang ada dapat mendekripsi komunikasi dan memverifikasi bahwa permintaan bergabung valid.
Jika wizard dapat terhubung ke node KeyControl yang ditetapkan, wizard akan menampilkan layar Autentikasi yang memberi tahu Anda bahwa node kini menjadi bagian dari cluster, tetapi harus diautentikasi di antarmuka web KeyControl sebelum dapat digunakan oleh sistem.
Lakukan autentikasi node di antarmuka web KeyControl. Saat layar Joining KeyControl Cluster menampilkan pesan bahwa administrator domain perlu mengautentikasi node baru, login ke antarmuka web KeyControl di node tersebut dan autentikasi server baru. Setelah node telah diautentikasi, KeyControl akan melanjutkan proses penyiapan.
Klik Enter.

Mengautentikasi node KeyControl baru

Saat menambahkan node KeyControl baru ke cluster yang ada, Anda harus mengautentikasi node baru dari antarmuka web KeyControl node yang ditentukan di konsol sistem node yang bergabung. Misalnya, jika Anda memiliki tiga node, dan bergabung dengan node keempat dengan menentukan node kedua, Anda harus mengautentikasi node baru dari antarmuka web untuk node kedua. Jika Anda mencoba mengautentikasi dari node yang berbeda, prosesnya akan gagal.

Login ke antarmuka web KeyControl menggunakan akun dengan hak istimewa Admin Domain.
Di panel menu, klik Cluster.
Klik tab Servers.
Pilih node yang ingin diautentikasi. Kolom Status menampilkan Join Pending untuk semua node yang belum diautentikasi.
Klik Tindakan > Autentikasi.
Masukkan sandi sekali pakai, lalu klik Autentikasi. Frasa sandi ini harus sama persis dengan frasa sandi yang Anda tentukan saat menginstal node KeyControl. Frasa sandi peka huruf besar/kecil.
Klik Refresh dan pastikan statusnya Online.
Jika Anda ingin melacak progres proses autentikasi, login ke konsol VM KeyControl di node yang Anda autentikasi sebagai htadmin.

Mengonfigurasi aturan firewall antara cloud pribadi dan VPC KeyControl

vCenter berkomunikasi dengan HyTrust KeyControl melalui protokol KMIP di Port KMIP. Defaultnya adalah TCP 5696. Port dapat dikonfigurasi dari antarmuka web KeyControl.

Di konsol Google Cloud, klik VPC network > Firewall.
Klik Create firewall rule.
Masukkan detail aturan firewall. Izinkan alamat IP vCenter untuk berkomunikasi dengan KeyControl di port KMIP.