HyTrust KeyControl を使用した vSAN 暗号化の構成

vSAN 暗号化を使用して保存データを暗号化するための 1 つのオプションは、HyTrust KeyControl を外部鍵管理サービス(KMS)として使用することです。Google Cloud で HyTrust KeyControl をデプロイする手順は次のとおりです。

前提条件

  • HyTrust KeyControl でサポートされている次の vSphere バージョンのいずれかを選択します。
    • vSphere 6.5、6.6、6.7 または 7.0
    • vSphere Trust Authority 7.0
    • KMIP 互換の暗号化エージェントのユニバーサル キー管理
  • プライベート クラウドでの vCenter 用の KMS を管理する権限VMware Engine のデフォルトの CloudOwner のロールには十分な権限があります。
  • HyTrust KeyControl の有効なライセンス。デプロイされた KeyControl には 30 日間の試用版ライセンスがあります。

プライベート クラウドと VPC 間のプライベート サービス アクセスを確立する

HyTrust KeyControl ノードをデプロイする予定の Google Cloud のプロジェクトと VPC を特定します。この VPC と VMware Engine プライベート クラウド間のプライベート サービス アクセスを確立します。

クラスタの最初の KeyControl ノードになる VM インスタンスを作成する

  1. KeyControl ノードに使用する既存の VPC がまだない場合は、新しい VPC を作成します。

  2. Google Cloud Console で、[イメージ] ページに移動します。

    [イメージ] ページに移動

  3. HyTrust KeyControl イメージをクリックします。

  4. [インスタンスを作成] をクリックします。

  5. インスタンスを構成します。

    • [マシンタイプ] で、n1-standard-2(2 vCPU、7.5 GB)を選択します。
    • [HTTPS トラフィックを許可する] をオンにします。
    • [ネットワーク インターフェース] で、使用する VPC を選択します。この設定を後で変更することはできません。
    • 外部 IP アドレスは静的またはエフェメラルの可能性があります。静的 IP アドレスを使用するには、以前に作成したパブリック IP を選択するか、[外部 IP] で [IP アドレスを作成] を選択します。
    • [Create public IP address] で、IP アドレスの名前と説明を入力します。
  6. [OK] をクリックします。

  7. [作成] をクリックします。

追加の KeyControl ノードを作成するには、先ほど作成したインスタンスのメタデータを使用します。インスタンスのメタデータを表示するには、[VM インスタンス] ページに移動します。

[VM インスタンス] ページに移動

KeyControl インスタンスのファイアウォール ルールを構成する

KeyControl の構成を開始する前に、VPC または KeyControl にアクセスするその他の任意のネットワークで、KeyControl に対して次のポートが開かれていることを確認してください。

必要なポート

プロトコル ポート範囲
SSH (22) TCP 22
HTTPS (443) TCP 443
カスタム TCP ルール TCP 8443
カスタム UDP ルール UDP 123

その他のポート

KeyControl を KMIP サーバーとして使用する、または KeyControl の SNMP ポーリング機能を使用する場合は、次のポートが必要です。

プロトコル デフォルト ポート
KMIP TCP 5696
SNMP UDP 161

ファイアウォールの設定方法については、プライベート クラウド用のファイアウォール テーブルとルールの設定をご覧ください。

最初の KeyControl ノードを構成し、KeyControl ウェブ インターフェースを初期化する

KeyControl ウェブ インターフェースを使用して KeyControl クラスタを構成、維持するには、SSH を使用して KeyControl インスタンスを構成する必要があります。

次の手順では、クラスタ内に最初の KeyControl ノードを構成する方法について説明します。KeyControl VM インスタンス ID と外部 IP アドレスがあることを確認してください。

  1. KeyControl VM インスタンスで htadmin アカウントにログインします。

    ssh htadmin@external-ip-address
    
  2. htadmin パスワードの入力を求められたら、KeyControl インスタンスのインスタンス ID を入力します。

  3. KeyControl システム管理アカウントの htadmin の新しいパスワードを入力し、Enter キーを押します。パスワードは 6 文字以上で設定する必要があり、スペースや ASCII 以外の文字を含めることはできません。このパスワードにより、HyTrust KeyControl System Console へのアクセスを制御し、ユーザーが KeyControl 管理タスクの一部を実行できるようにします。KeyControl ユーザーが完全なオペレーティング システムにアクセスすることは許可されません。

  4. [System configuration] 画面で、[Install Initial KeyControl Node] を選択し、Enter キーを押します。

  5. 確認ダイアログを確認します。このダイアログは、KeyControl ウェブ インターフェースで使用できる公開 URL と、このクラスタに他の KeyControl ノードを追加する場合に使用できるプライベート IP アドレスを提供します。

  6. Enter キーを押します。

  7. このクラスタの KeyControl ウェブ インターフェースを初期化するには、次のようにします。

    1. ウェブブラウザで https://external-ip-address に移動します。ここで、external-ip-address は KeyControl インスタンスに関連付けられた外部 IP アドレスです。
    2. プロンプトが表示されたら、KeyControl IP アドレスのセキュリティ例外を追加し、KeyControl ウェブ インターフェースに進みます。
    3. HyTrust KeyControl ログインページで、ユーザー名として secroot とパスワードとしてインスタンス ID を入力します。
    4. EULA(エンドユーザー使用許諾契約)を確認します。[I Agree] をクリックして、ライセンス利用規約に同意します。
    5. [Change Password] ページで、secroot アカウントの新しいパスワードを入力し、[Update Password] をクリックします。
    6. [Configure E-Mail and Mail Server Settings] ページで、メール設定を入力します。メールアドレスを入力すると、新しいノードの管理キーを含むメールが KeyControl から送信されます。また、このメールアドレスにシステム アラートが送信されます。
    7. メールによるアラートを無効にするには、[Disable email notifications] チェックボックスをオンにします。管理キーは、KeyControl ウェブ インターフェースの [Settings] タブからダウンロードします。いくつかの管理操作を完了するため、管理キーをダウンロードして保存する必要があります。
    8. [Continue] をクリックします。
    9. [Automatic Vitals Reporting] ページで、自動 Vitals レポートを有効にするか無効にするかを指定します。自動 Vitals レポートでは、KeyControl クラスタの健全性に関する情報を HyTrust サポートと自動的に共有できます。このサービスを有効にすると、KeyControl は、システム ステータスと診断情報を含む暗号化されたバンドルを、安全な HyTrust サーバーに定期的に送信します。HyTrust のサポートは、Vitals Service がクラスタの健全性に関する問題を特定した場合、事前に通知する場合があります。KeyControl セキュリティ管理者は、KeyControl ウェブ インターフェースで [Settings] > [Vitals] を選択することによって、いつでもこのサービスを有効または無効にできます。詳細については、自動 Vitals レポートの構成をご覧ください。
    10. [Save & continue] をクリックします。
    11. Internet Explorer を使用している場合は、証明書をインポートして、信頼できるサイトリストに KeyControl IP アドレスを追加します。インターネット オプション > [セキュリティ] > [レベルのカスタマイズ] で、[ダウンロード] > [ファイルのダウンロード] オプションが有効になっていることを確認します。

追加のノードを構成して既存のクラスタに追加する(省略可)

最初の KeyControl ノードを構成した後、他のゾーンまたはリージョンからノードを追加できます。クラスタの最初のノードでのすべての構成情報が、クラスタに追加したすべてのノードにコピーされます。

KeyControl VM インスタンスのインスタンス ID、その VM インスタンスに関連付けられた外部 IP アドレス、クラスタ内の既存の KeyControl ノードの 1 つのプライベート IP アドレスがあることを確認します。

  1. KeyControl VM インスタンスで htadmin アカウントにログインします。

      ssh htadmin@external-ip-address
      

  2. htadmin パスワードの入力を求められたら、構成する KeyControl インスタンスのインスタンス ID を入力します。

  3. KeyControl システム管理アカウントの htadmin の新しいパスワードを入力し、Enter キーを押します。パスワードは 6 文字以上で設定する必要があり、スペースや ASCII 以外の文字を含めることはできません。

  4. このパスワードにより、HyTrust KeyControl System Console へのアクセスを制御し、ユーザーが KeyControl 管理タスクの一部を実行できるようにします。KeyControl ユーザーが完全なオペレーティング システムにアクセスすることは許可されません。

  5. [System configuration] 画面で、[Add KeyControl node to existing cluster] を選択して、Enter キーを押します。

  6. クラスタにすでに存在する任意の KeyControl ノードの内部 IP アドレスを入力し、Enter キーを押します。KeyControl は、ノードの初期構成プロセスを開始します。

  7. 既存のノードの内部 IP アドレスを確認するには、KeyControl ウェブ インターフェースにログインし、上部のメニューバーで [Cluster] をクリックします。[Servers] タブに移動し、表にある IP アドレスを確認します。

  8. このノードが以前に選択したクラスタの一部であった場合は、既存のデータを削除してクラスタに再参加するかどうかを尋ねるプロンプトが表示されます。[Yes] を選択し、Enter キーを押します。

  9. このノードが別のクラスタのメンバーだったか、もともとクラスタ内の唯一のノードとして構成されていた場合、KeyControle では、続行すると、現在のノードですべてのデータが破棄されるというメッセージが表示されます。[Yes] を選択して、Enter キーを押し、次のプロンプトでもう一度 Enter キーを押して操作を確定します。

  10. プロンプトが表示されたら、この KeyControl ノードのワンタイム パスワードを入力し、Enter キーを押します。パスワードは 16 文字以上の英数字で指定してください。スペースや特殊文字を含めることはできません。このパスワードは、このノードと既存の KeyControl クラスタ間の最初の通信の暗号化に使用される一時的な文字列です。既存のクラスタで新しいノードを認証する場合は、KeyControl ウェブ インターフェースにこのパスフレーズを入力して、既存のノードが通信を復号し、参加リクエストが有効であることを確認します。

  11. ウィザードが指定の KeyControl ノードに接続できる場合は、ノードがクラスタの一部になったものの、システムで使用するにはノードを KeyControl ウェブ インターフェースで認証する必要があることを示す [Authentication] 画面が表示されます。

  12. KeyControl ウェブ インターフェースでノードを認証します。[Joining KeyControl Cluster] 画面に、ドメイン管理者が新しいノードを認証する必要があることを示すメッセージが表示されたら、そのノードの KeyControl ウェブ インターフェースにログインして、新しいサーバーを認証します。ノードが認証されると、KeyControl はセットアップ プロセスを続行します。

  13. Enter キーを押します。

新しい KeyControl ノードを認証する

既存のクラスタに新しい KeyControl ノードを追加する場合、参加するノードのシステム コンソールで指定されたノードの KeyControl ウェブ インターフェースから新しいノードを認証する必要があります。たとえば、3 つのノードがあり、ノード 2 を指定して 4 つ目のノードに参加する場合、ノード 2 のウェブ インターフェースから新しいノードを認証する必要があります。別のノードから認証しようとすると、失敗します。

  1. ドメイン管理者権限を持つアカウントを使用して KeyControl ウェブ インターフェースにログインします。
  2. メニューバーで、[Cluster] をクリックします。
  3. [Servers] タブをクリックします。
  4. 認証するノードを選択します。[Status] 列には、まだ認証されていないすべてのノードに対して、[Join Pending] と表示されます。
  5. [Actions] > [Authenticate] をクリックします。
  6. ワンタイム パスワードを入力し、[Authenticate] をクリックします。このパスフレーズは、KeyControl ノードのインストール時に指定したパスフレーズと完全に一致する必要があります。パスフレーズでは大文字と小文字が区別されます。
  7. [Refresh] をクリックして、ステータスが [Online] であることを確認します。
  8. 認証プロセスの進捗状況をトラックするには、htadmin として認証するノードで KeyControl VM コンソールにログインします。

プライベート クラウドと KeyControl VPC の間のファイアウォール ルールを構成する

vCenter は、KMIP ポート上の KMIP プロトコルを介して HyTrust KeyControl と通信します。デフォルトは TCP 5696 です。ポートは、KeyControl ウェブ インターフェースから構成できます。

  1. Google Cloud Console で、[VPC ネットワーク] > [ファイアウォール] をクリックします。
  2. [ファイアウォール ルールを作成] をクリックします。
  3. ファイアウォール ルールの詳細を入力します。vCenter の IP アドレスが、KVM ポートの KeyControl と通信できるようにします。

外部 KMS として HyTrust KeyControl を使用するように vCenter を構成する

  1. KMIP サーバーを構成します
  2. vCenter で KMS クラスタを作成します
  3. vCenter で生成された CSR を使用して、vCenter と KeyControl 間の信頼できる接続を確立します