VSAN-Verschlüsselung mit HyTrust KeyControl konfigurieren

Zum Verschlüsseln inaktiver Daten mit der vSAN-Verschlüsselung können Sie beispielsweise HyTrust KeyControl als externen Key Management Service (KMS) verwenden. Führen Sie die folgenden Schritte aus, um HyTrust KeyControl in Google Cloud bereitzustellen.

Voraussetzungen

  • Eine der folgenden von HyTrust KeyControl unterstützten vSphere-Versionen:
    • vSphere 6.5, 6.6, 6.7 oder 7.0
    • vSphere Trust Authority 7.0
    • Universelle Schlüsselverwaltung für KMIP-kompatible Verschlüsselungs-Agents
  • Die Berechtigung zum Verwalten von KMS für vCenter in der privaten Cloud. Die Standardrolle "CloudOwner" in VMware Engine bietet ausreichende Berechtigungen.
  • Eine gültige Lizenz für HyTrust KeyControl. Die bereitgestellte KeyControl hat eine Testlizenz von 30 Tagen.

Privaten Dienstzugriff zwischen der privaten Cloud und der VPC einrichten

Identifizieren Sie ein Projekt und eine VPC in Google Cloud, auf denen Sie HyTrust KeyControl-Knoten bereitstellen möchten. Richten Sie den privaten Dienstzugriff zwischen dieser VPC und der privaten Cloud von VMware Engine ein.

VM-Instanz erstellen, die zum ersten KeyControl-Knoten im Cluster wird

  1. Falls Sie noch keine VPC haben, die Sie für den KeyControl-Knoten verwenden möchten, erstellen Sie eine neue VPC.

  2. Rufen Sie in der Google Cloud Console die Seite Images auf.

    Zur Seite "Images"

  3. Klicken Sie auf das HyTrust KeyControl-Image.

  4. Klicken Sie auf Instanz erstellen.

  5. Konfigurieren Sie die Instanz:

    • Wählen Sie unter Maschinentyp die Option n1-standard-2 (2 vCPUs, 7,5 GB) aus.
    • Klicken Sie auf das Kästchen HTTPS-Traffic zulassen.
    • Wählen Sie unter Netzwerkschnittstelle die VPC aus, die Sie verwenden möchten. Diese Angabe kann später nicht mehr geändert werden.
    • Die externe IP-Adresse kann statisch oder sitzungsspezifisch sein. Wählen Sie eine zuvor erstellte öffentliche IP-Adresse aus oder wählen Sie unter Externe IP-Adresse die Option IP-Adresse erstellen aus, um eine statische IP-Adresse zu verwenden.
    • Geben Sie unter Öffentliche IP-Adresse erstellen einen Namen und eine Beschreibung für die IP-Adresse ein.
  6. Klicken Sie auf OK.

  7. Klicken Sie auf Erstellen.

Zum Erstellen weiterer KeyControl-Knoten können Sie Metadaten aus der gerade erstellten Instanz verwenden. Rufen Sie die Seite VM-Instanzen auf, um sich die Instanzmetadaten anzeigen zu lassen.

Die Seite VM-Instanzen aufrufen

Firewallregeln für die KeyControl-Instanz konfigurieren

Stellen Sie vor dem Konfigurieren von KeyControl sicher, dass die folgenden Ports für die KeyControl der VPC oder eines anderen Netzwerks, über das Sie auf die KeyControl zugreifen, geöffnet sind.

Erforderliche Ports

Typ Protokoll Portbereich
SSH (22) TCP 22
HTTPS (443) TCP 443
Benutzerdefinierte TCP-Regel TCP 8443
Benutzerdefinierte UDP-Regel UDP 123

Zusätzliche Ports

Die folgenden Ports sind erforderlich, wenn Sie KeyControl als KMIP-Server verwenden möchten oder wenn Sie das SNMS-Abfragefeature für KeyControl verwenden möchten.

Typ Protokoll Standardport
KMIP TCP 5696
SNMP UDP 161

Informationen zum Einrichten der Firewall finden Sie unter Firewalltabellen und -regeln für private Clouds einrichten.

Den ersten KeyControl-Knoten konfigurieren und die KeyControl-Weboberfläche initialisieren

Sie müssen die KeyControl-Instanz mit SSH konfigurieren, bevor Sie die KeyControl-Weboberfläche zum Konfigurieren und Verwalten des KeyControl-Clusters verwenden können.

Im Folgenden wird beschrieben, wie der erste KeyControl-Knoten im Cluster konfiguriert wird. Vergewissern Sie sich, dass Sie die ID und die externe IP-Adresse der KeyControl-VM-Instanz haben.

  1. Melden Sie sich bei der KeyControl-VM-Instanz mit dem Konto htadmin an.

    ssh htadmin@external-ip-address
    
  2. Wenn Sie zur Eingabe des htadmin-Passworts aufgefordert werden, geben Sie die Instanz-ID für die KeyControl-Instanz ein.

  3. Geben Sie ein neues Passwort für das KeyControl-Systemverwaltungskonto "htadmin" ein und drücken Sie die Eingabetaste. Das Passwort muss mindestens 6 Zeichen lang sein und darf keine Leerzeichen oder Nicht-ASCII-Zeichen enthalten. Dieses Passwort steuert den Zugriff auf die HyTrust KeyControl System Console, über die Nutzer einige KeyControl-Verwaltungsaufgaben ausführen können. Es ermöglicht dem KeyControl-Nutzer nicht, auf das vollständige Betriebssystem zuzugreifen.

  4. Wählen Sie auf dem Bildschirm Systemkonfiguration die Option Ersten KeyControl-Knoten installieren aus und drücken Sie die Eingabetaste.

  5. Lesen Sie das Bestätigungsdialogfeld. In diesem Dialogfeld sind die öffentliche URL, die Sie auf der Weboberfläche von KeyControl verwenden können, und die private IP-Adresse angegeben, die Sie verwenden können, wenn Sie diesem Cluster weitere KeyControl-Knoten hinzufügen möchten.

  6. Drücken Sie die Eingabetaste.

  7. Initialisieren Sie die KeyControl-Weboberfläche für diesen Cluster:

    1. Rufen Sie in einem Webbrowser https://external-ip-address auf, wobei external-ip-address die externe IP-Adresse ist, die der KeyControl-Instanz zugeordnet ist.
    2. Wenn Sie dazu aufgefordert werden, fügen Sie eine Sicherheitsausnahme für die IP-Adresse von KeyControl hinzu. Fahren Sie dann auf der Weboberfläche von KeyControl fort.
    3. Geben Sie auf der Anmeldeseite von HyTrust KeyControl secroot als Nutzername und die Instanz-ID als Passwort ein.
    4. Lesen Sie den Endnutzer-Lizenzvertrag (EULA). Klicken Sie auf I Agree, um die Lizenzbedingungen zu akzeptieren.
    5. Geben Sie auf der Seite Change Password ein neues Passwort für das Konto "secroot" ein und klicken Sie auf Update Password.
    6. Geben Sie auf der Seite Configure E-Mail and Mail Server Settings Ihre E-Mail-Einstellungen ein. Wenn Sie eine E-Mail-Adresse eingeben, erhalten Sie von KeyControl eine E-Mail mit dem Administratorschlüssel für den neuen Knoten. Außerdem werden Systembenachrichtigungen an diese E-Mail-Adresse gesendet.
    7. Wenn Sie Benachrichtigungen per E-Mail deaktivieren möchten, klicken Sie auf das Kästchen neben Disable email notifications. Den Administratorschlüssel können Sie auf der Weboberfläche von KeyControl über den Tab Settings herunterladen. Sie müssen den Administratorschlüssel herunterladen und speichern, um verschiedene Verwaltungsvorgänge auszuführen.
    8. Klicken Sie auf Weiter.
    9. Geben Sie auf der Seite Automatic Vitals Reporting an, ob Sie automatische Vitals-Berichte aktivieren oder deaktivieren möchten. Mit der automatischen Vitals-Berichterstellung können Informationen zum Zustand Ihres KeyControl-Clusters automatisch an den HyTrust-Support gesendet werden. Wenn Sie diesen Dienst aktivieren, sendet KeyControl regelmäßig ein verschlüsseltes Bundle mit Systemstatus- und Diagnoseinformationen an einen sicheren HyTrust-Server. Der HyTrust-Support nimmt möglicherweise selbstständig Kontakt zu Ihnen auf, wenn der Vitals-Dienst Probleme mit dem Zustand Ihres Clusters feststellt. KeyControl-Sicherheitsadministratoren können diesen Dienst jederzeit aktivieren oder deaktivieren, indem Sie auf der Weboberfläche von KeyControl Settings > Vitals auswählen. Weitere Informationen finden Sie unter Automatische Vitals-Berichte konfigurieren.
    10. Klicken Sie auf Speichern und weiter.
    11. Wenn Sie den Internet Explorer verwenden, importieren Sie das Zertifikat und fügen Sie die KeyControl-IP-Adresse Ihrer Liste vertrauenswürdiger Websites hinzu. Prüfen Sie, ob unter Internetoptionen > Sicherheit > Stufe anpassen… die Option Downloads > Dateidownload aktiviert ist.

Zusätzliche Knoten konfigurieren und dem vorhandenen Cluster hinzufügen (optional)

Nachdem der erste KeyControl-Knoten konfiguriert wurde, können Sie zusätzliche Knoten aus anderen Zonen oder Regionen hinzufügen. Alle Konfigurationsinformationen vom ersten Knoten im Cluster werden auf alle Knoten kopiert, die Sie dem Cluster hinzufügen.

Sie benötigen die Instanz-ID der KeyControl-VM-Instanz, die externe IP-Adresse, die dieser VM-Instanz zugeordnet ist, und die private IP-Adresse eines vorhandenen KeyControl-Knotens in Ihrem Cluster.

  1. Melden Sie sich bei der KeyControl-VM-Instanz mit dem Konto htadmin an.

      ssh htadmin@external-ip-address
      

  2. Wenn Sie zur Eingabe des htadmin-Passworts aufgefordert werden, geben Sie die Instanz-ID der KeyControl-Instanz ein, die Sie konfigurieren möchten.

  3. Geben Sie ein neues Passwort für das KeyControl-Systemverwaltungskonto htadmin ein und drücken Sie die Eingabetaste. Das Passwort muss mindestens 6 Zeichen lang sein und darf keine Leerzeichen oder Nicht-ASCII-Zeichen enthalten.

  4. Dieses Passwort steuert den Zugriff auf die HyTrust KeyControl System Console, über die Nutzer einige KeyControl-Verwaltungsaufgaben ausführen können. Es ermöglicht dem KeyControl-Nutzer nicht, auf das vollständige Betriebssystem zuzugreifen.

  5. Wählen Sie auf dem Bildschrim Systemkonfiguration die Option KeyControl-Konten zum bestehen Cluster hinzufügen aus und drücken Sie die Eingabetaste.

  6. Geben Sie die interne IP-Adresse eines KeyControl-Knotens ein, der sich bereits im Cluster befindet, und drücken Sie die Eingabetaste. KeyControl beginnt mit dem initialen Konfigurationsprozess für den Knoten.

  7. Melden Sie sich bei der Weboberfläche von KeyControl an und klicken Sie in der oberen Menüleiste auf Cluster, um die interne IP-Adresse für den vorhandenen Knoten zu ermitteln. Wechseln Sie zum Tab "Server" und sehen Sie sich die IP-Adresse in der Tabelle an.

  8. Wenn dieser Knoten zuvor Teil des ausgewählten Clusters war, wird in KeyControl eine Meldung angezeigt, in der Sie gefragt werden, ob Sie die vorhandenen Daten bereinigen und den Knoten wieder dem Cluster hinzufügen möchten. Wählen Sie Yes aus und drücken Sie die Eingabetaste.

  9. Wenn dieser Knoten Mitglied eines anderen Clusters war oder ursprünglich als einziger Knoten im Cluster konfiguriert wurde, erhalten Sie von KeyControl die Meldung, dass alle Daten auf dem aktuellen Knoten gelöscht werden, falls Sie fortfahren. Wählen Sie Yes aus, drücken Sie die Eingabetaste und dann noch einmal die Eingabetaste, um die Aktion bei der nächsten Eingabeaufforderung zu bestätigen.

  10. Wenn Sie dazu aufgefordert werden, geben Sie ein einmaliges Passwort für diesen KeyControl-Knoten ein und drücken Sie die Eingabetaste. Das Passwort muss mindestens 16 alphanumerische Zeichen enthalten. Er darf keine Leerzeichen oder Sonderzeichen enthalten. Dieses Passwort ist ein temporärer String, der zum Verschlüsseln der ersten Kommunikation zwischen diesem Knoten und dem vorhandenen KeyControl-Cluster verwendet wird. Wenn Sie den neuen Knoten beim vorhandenen Cluster authentifizieren, geben Sie diese Passphrase in der Weboberfläche von KeyControl ein, damit der vorhandene Knoten die Kommunikation entschlüsseln und verifizieren kann, ob die Anfrage zum Hinzufügen gültig ist.

  11. Wenn der Assistent eine Verbindung zum vorgesehenen KeyControl-Knoten herstellen kann, wird der Bildschirm Authentification angezeigt. Sie erhalten dann die Information, dass der Knoten jetzt Teil des Clusters ist, aber zuerst auf der Weboberfläche von KeyControl authentifiziert werden muss, bevor er vom System verwendet werden kann.

  12. Authentifizieren Sie den Knoten auf der Weboberfläche von KeyControl. Wenn auf dem Bildschirm Joining KeyControl Cluster eine Nachricht angezeigt wird, dass der neue Knoten von einem Domainadministrator authentifiziert werden muss, melden Sie sich auf diesem Knoten bei der Weboberfläche von KeyControl an und authentifizieren Sie den neuen Server. Nachdem der Knoten authentifiziert wurde, setzt KeyControl den Einrichtungsvorgang fort.

  13. Drücken Sie die Eingabetaste.

Neue KeyControl-Knoten authentifizieren

Wenn Sie einem vorhandenen Cluster einen neuen KeyControl-Knoten hinzufügen, müssen Sie den neuen Knoten über die KeyControl-Weboberfläche des Knotens authentifizieren, der in der Systemkonsole des hinzuzufügenden Knotens angegeben wurde. Wenn Sie beispielsweise drei Knoten haben, einen vierten Knoten hinzufügen möchten und dafür den zweiten Knoten angeben, müssen Sie den neuen Knoten über die Weboberfläche für den zweiten Knoten authentifizieren. Wenn Sie versuchen, sich über einen anderen Knoten zu authentifizieren, schlägt die Authentifizierung fehl.

  1. Melden Sie sich bei der Weboberfläche von KeyControl mit einem Konto an, das Domainadministratorberechtigungen hat.
  2. Klicken Sie in der Menüleiste auf Cluster.
  3. Klicken Sie auf den Tab Server.
  4. Wählen Sie den Knoten aus, den Sie authentifizieren möchten. In der Spalte Status wird für alle Knoten, die noch nicht authentifiziert wurden, der Status Join Pending angezeigt.
  5. Klicken Sie auf Actions > Authenticate.
  6. Geben Sie das einmalige Passwort ein und klicken Sie auf Authenticate. Diese Passphrase muss genau mit der Passphrase übereinstimmen, die Sie bei der Installation des KeyControl-Knotens angegeben haben. Bei der Passphrase wird zwischen Groß- und Kleinschreibung unterschieden.
  7. Klicken Sie auf Refresh und vergewissern Sie sich, dass der Status Online lautet.
  8. Wenn Sie den Fortschritt des Authentifizierungsvorgangs verfolgen möchten, melden Sie sich bei der KeyControl-VM-Konsole auf dem Knoten an, den Sie als htadmin authentifizieren.

Firewallregeln für die private Cloud und die KeyControl-VPC konfigurieren

vCenter kommuniziert mit HyTrust KeyControl über das KMIP-Protokoll auf dem KMIP-Port. Der Standardwert ist TCP 5696. Der Port kann über die Weboberfläche von KeyControl konfiguriert werden.

  1. Klicken Sie in der Google Cloud Console auf VPC-Netzwerk > Firewall.
  2. Klicken Sie auf Firewallregel erstellen.
  3. Geben Sie die Details für die Firewallregel ein. Lassen Sie zu, dass die IP-Adresse von vCenter auf dem KMIP-Port mit KeyControl kommuniziert.

vCenter für die Verwendung von HyTrust KeyControl als externen KMS konfigurieren

  1. KMIP-Server konfigurieren
  2. KMS-Cluster in vCenter erstellen
  3. Mit einer von vCenter generierten CSR eine vertrauenswürdige Verbindung zwischen vCenter und KeyControl herstellen