HyTrust KeyControl을 사용하여 vSAN 암호화 구성

vSAN 암호화를 사용하여 저장 데이터를 암호화하는 한 가지 옵션은 HyTrust KeyControl을 외부 키 관리 서비스(KMS)로 사용하는 것입니다. Google Cloud에 HyTrust KeyControl을 배포하려면 이 문서의 단계를 따르세요.

기본 요건

  • HyTrust KeyControl에서 지원되는 다음 vSphere 버전 중 하나가 필요합니다.
    • vSphere 6.5, 6.6, 6.7, 7.0
    • vSphere Trust Authority 7.0
    • KMIP와 호환되는 암호화 에이전트를 위한 범용 키 관리
  • 프라이빗 클라우드의 vCenter에 대한 KMS 관리 권한. VMware Engine의 기본 CloudOwner 역할에 포함된 권한으로 충분합니다.
  • 유효한 HyTrust KeyControl 라이선스. 배포된 KeyControl에는 30일 평가판 라이선스가 포함됩니다.

프라이빗 클라우드와 VPC 네트워크 사이에 비공개 연결 설정

HyTrust KeyControl 노드를 배포하려는 Google Cloud에서 프로젝트와 Virtual Private Cloud(VPC) 네트워크를 식별합니다. 해당 VPC 네트워크와 프라이빗 클라우드 간에 비공개 연결을 구성합니다.

클러스터에서 초기 KeyControl 노드가 될 VM 인스턴스 만들기

  1. KeyControl 노드에 사용할 기존 VPC 네트워크가 아직 없으면 새 VPC 네트워크를 만듭니다.

  2. Google Cloud Console에서 이미지 페이지로 이동합니다.

    이미지 페이지로 이동

  3. HyTrust KeyControl 이미지를 클릭합니다.

  4. 인스턴스 만들기를 클릭합니다.

  5. 인스턴스를 구성합니다.

    • 머신 유형에서 n1-standard-2(2개 vCPU, 7.5GB)를 선택합니다.
    • HTTPS 트래픽 허용을 선택합니다.
    • 네트워크 인터페이스에서 사용하려는 VPC 네트워크를 선택합니다. 이 항목을 나중에 변경할 수 없습니다.
    • 외부 IP 주소는 고정 또는 임시 주소일 수 있습니다. 고정 IP 주소를 사용하려면 이전에 생성된 모든 공개 IP를 선택하거나 외부 IP에서 IP 주소 만들기를 선택합니다.
    • 공개 IP 주소 만들기에서 IP 주소의 이름과 설명을 입력합니다.

  6. 확인을 클릭합니다.

  7. 만들기를 클릭합니다.

추가 KeyControl 노드를 만들려면 바로 전에 만든 인스턴스의 메타데이터를 사용할 수 있습니다. 인스턴스 메타데이터를 보려면 VM 인스턴스 페이지로 이동합니다.

VM 인스턴스 페이지로 이동

KeyControl 인스턴스의 방화벽 규칙 구성

KeyControl 구성을 시작하기 전에 VPC 네트워크에서 또는 KeyControl에 액세스하려는 다른 네트워크에서 다음과 같은 KeyControl의 포트가 열려 있는지 확인합니다.

필수 포트

유형 프로토콜 포트 범위
SSH (22) TCP 22
HTTPS (443) TCP 443
커스텀 TCP 규칙 TCP 8443
커스텀 UDP 규칙 UDP 123

추가 포트

KeyControl을 KMIP 서버로 사용하거나 KeyControl에 SNMP 폴링 기능을 사용하려는 경우에는 다음 포트가 필요합니다.

유형 프로토콜 기본 포트
KMIP TCP 5696
SNMP UDP 161

방화벽을 설정하는 방법은 방화벽 테이블을 참조하세요.

첫 번째 KeyControl 노드 구성 및 KeyControl 웹 인터페이스 초기화

KeyControl 웹 인터페이스를 사용하여 KeyControl 클러스터를 구성하고 유지보수하려면 먼저 SSH를 사용하여 KeyControl 인스턴스를 구성해야 합니다.

다음 절차에서는 클러스터에서 첫 번째 KeyControl 노드를 구성하는 방법을 설명합니다. KeyControl VM 인스턴스 ID 및 외부 IP 주소가 있는지 확인합니다.

  1. KeyControl VM 인스턴스에서 htadmin 계정에 로그인합니다.

    ssh htadmin@external-ip-address

  2. htadmin 비밀번호를 입력하라는 메시지가 표시되면 KeyControl 인스턴스의 인스턴스 ID를 입력합니다.

  3. KeyControl 시스템 관리 계정 htadmin의 새 비밀번호를 입력하고 입력을 클릭합니다. 비밀번호는 6자 이상이어야 하고 공백 또는 ASCII 이외의 문자를 포함할 수 없습니다. 이 비밀번호는 사용자가 일부 KeyControl 관리 작업을 수행할 수 있게 해주는 HyTrust KeyControl 시스템 콘솔에 대한 액세스를 제어합니다. 이 비밀번호를 사용해서는 KeyControl 사용자가 전체 운영체제에 액세스할 수 없습니다.

  4. 시스템 구성 화면에서 초기 KeyControl 노드 설치를 선택하고 입력을 클릭합니다.

  5. 확인 대화상자를 검토합니다. 이 대화상자는 KeyControl 웹 인터페이스에 사용할 수 있는 공개 URL과 이 클러스터에 KeyControl 노드를 추가할 때 사용할 수 있는 비공개 IP 주소를 제공합니다.

  6. 입력을 클릭합니다.

  7. 이 클러스터에 대해 KeyControl 웹 인터페이스를 초기화하려면 다음 안내를 따르세요.

    1. 웹브라우저에서 https://external-ip-address로 이동합니다. external-ip-address는 KeyControl 인스턴스와 연결된 주소입니다.
    2. 메시지가 표시되면 KeyControl IP 주소의 보안 예외를 추가하고 KeyControl 웹 인터페이스로 진행합니다.
    3. HyTrust KeyControl 로그인 페이지에서 사용자 이름으로 secroot를 입력하고 비밀번호의 인스턴스 ID를 입력합니다.
    4. EULA(최종 사용자 라이선스 계약)를 검토합니다. 동의를 클릭하여 라이선스 조건을 수락합니다.
    5. 비밀번호 변경 페이지에서 secroot 계정의 새 비밀번호를 입력하고 비밀번호 업데이트를 클릭합니다.

    6. 이메일 및 메일 서버 설정 구성 페이지에서 이메일 설정을 입력합니다. 이메일 주소를 입력하면 KeyControl이 새 노드의 관리자 키가 포함된 이메일을 전송합니다. 또한 이 이메일 주소로 시스템 알림을 전송합니다.

    7. 계속을 클릭합니다.

    8. 자동 핵심 보고 페이지에서 자동 핵심 보고를 사용 설정 또는 사용 중지할지 여부를 지정합니다. 자동 핵심 보고를 사용하면 KeyControl 클러스터의 상태 관련 정보를 HyTrust 지원팀에게 자동으로 공유할 수 있습니다.

      이 서비스를 사용 설정하면 KeyControl이 시스템 상태 및 진단 정보가 포함된 암호화된 번들을 보안 HyTrust 서버로 주기적으로 전송합니다. 핵심 서비스에 클러스터 상태 관련 문제가 발견된 경우 HyTrust 지원팀으로부터 미리 연락을 받을 수 있습니다.

      KeyControl 보안 관리자는 KeyControl 웹 인터페이스에서 설정 > 핵심을 선택하여 언제든지 이 서비스를 사용 설정 또는 사용 중지할 수 있습니다. 자세한 내용은 자동 핵심 보고 구성을 참조하세요.

    9. 저장하고 계속하기를 클릭합니다.

    10. Internet Explorer를 사용하는 경우 인증서를 가져오고 KeyControl IP 주소를 신뢰할 수 있는 사이트 목록에 추가합니다. 인터넷 옵션 > 보안 > 커스텀 수준에서 다운로드 > 파일 다운로드 옵션이 사용 설정되었는지 확인합니다.

추가 노드를 구성하고 기존 클러스터에 추가(선택사항)

첫 번째 KeyControl 노드가 구성된 다음에는 다른 영역 또는 리전의 노드를 추가할 수 있습니다. 클러스터의 첫 번째 노드의 모든 구성 정보가 클러스터에 추가하는 모든 노드에 복사됩니다.

KeyControl VM 인스턴스의 인스턴스 ID, 해당 VM 인스턴스와 연결된 외부 IP 주소, 클러스터에 있는 기존 KeyControl 노드 중 하나의 비공개 IP 주소가 있는지 확인합니다.

  1. KeyControl VM 인스턴스에서 htadmin 계정에 로그인합니다.

      ssh htadmin@external-ip-address

  2. htadmin 비밀번호를 입력하라는 메시지가 표시되면 구성할 KeyControl 인스턴스의 인스턴스 ID를 입력합니다.

  3. KeyControl 시스템 관리 계정 htadmin의 새 비밀번호를 입력하고 입력을 클릭합니다. 비밀번호는 6자 이상이어야 하고 공백 또는 ASCII 이외의 문자를 포함할 수 없습니다.

  4. 이 비밀번호는 사용자가 일부 KeyControl 관리 작업을 수행할 수 있게 해주는 HyTrust KeyControl 시스템 콘솔에 대한 액세스를 제어합니다. 이 비밀번호를 사용해서는 KeyControl 사용자가 전체 운영체제에 액세스할 수 없습니다.

  5. 시스템 구성 화면에서 기존 클러스터에 KeyControl 노드 추가를 선택하고 입력을 클릭합니다.

  6. 클러스터에 이미 있는 KeyControl 노드의 내부 IP 주소를 입력하고 입력을 클릭합니다. KeyControl이 노드의 초기 구성 프로세스를 시작합니다.

  7. 기존 노드의 내부 IP 주소를 찾으려면 KeyControl 웹 인터페이스에 로그인하고 맨 위에 있는 메뉴 바에서 클러스터를 클릭합니다. 서버 탭으로 이동하고 테이블의 IP 주소를 확인합니다.

  8. 이 노드가 이전에 선택된 클러스터에 포함된 경우 기존 데이터를 지우고 클러스터에 다시 참여할지 여부를 묻는 프롬프트가 KeyControl에 표시됩니다. 를 선택하고 입력을 클릭합니다.

  9. 노드가 다른 클러스터의 구성원이거나 원래 클러스터의 유일한 노드로 구성된 경우에는 계속할 경우 모든 데이터가 현재 노드에 배포된다는 알림이 KeyControl에 표시됩니다. 를 선택하고 입력을 클릭한 후 입력을 다시 클릭하여 다음 프롬프트에서 작업을 확인합니다.

  10. 메시지가 표시되면 이 KeyControl 노드의 일회용 비밀번호를 입력하고 입력을 클릭합니다. 비밀번호는 16자 이상의 영숫자 문자를 포함해야 합니다. 공백 또는 특수문자를 포함할 수 없습니다. 이 비밀번호는 이 노드와 기존 KeyControl 클러스터 사이의 초기 통신을 암호화하기 위해 사용되는 임시 문자열입니다. 기존 클러스터에 새 노드를 인증할 때는 기존 노드가 통신을 해독하고 참여 요청이 유효한지 확인할 수 있도록 KeyControl 웹 인터페이스에서 이 암호를 입력합니다.

  11. 마법사가 지정된 KeyControl 노드에 연결할 수 없으면 노드가 클러스터에 속하지만 시스템에서 사용하기 전에 KeyControl 웹 인터페이스에서 인증되어야 함을 알리는 인증 화면이 표시됩니다.

  12. KeyControl 웹 인터페이스에서 노드를 인증합니다. KeyControl 클러스터에 참여 화면에 도메인 관리자가 새 노드에 인증해야 한다는 메시지가 표시되면 해당 노드에서 KeyControl 웹 인터페이스에 로그인하고 새 서버를 인증합니다. 노드가 인증된 다음 KeyControl이 설정 프로세스를 계속 수행합니다.

  13. 입력을 클릭합니다.

새 KeyControl 노드 인증

새 KeyControl 노드를 기존 클러스터에 추가할 때는 조인 노드의 시스템 콘솔에 지정된 노드의 KeyControl 웹 인터페이스에서 새 노드를 인증해야 합니다. 예를 들어 3개 노드가 있고 2번 노드를 지정하여 네 번째 노드를 참여시키려면 2번 노드에 대해 웹 인터페이스에서 새 노드를 인증해야 합니다. 다른 노드에서 인증을 시도하면 프로세스가 실패합니다.

  1. 도메인 관리자 권한이 있는 계정을 사용하여 KeyControl 웹 인터페이스에 로그인합니다.
  2. 메뉴 바에서 클러스터를 클릭합니다.
  3. 서버 탭을 클릭합니다.
  4. 인증하려는 노드를 선택합니다. 상태 열에는 아직 인증되지 않은 모든 노드에 대해 참여 대기 중이 표시됩니다.
  5. 작업 > 인증을 클릭합니다.
  6. 일회용 비밀번호를 입력하고 인증을 클릭합니다. 이 암호는 KeyControl 노드를 설치할 때 지정한 암호와 정확하게 일치해야 합니다. 암호는 대소문자를 구분합니다.
  7. 새로고침을 클릭하고 상태가 온라인인지 확인합니다.
  8. 인증 프로세스의 진행 상황을 추적하려면 htadmin으로 인증하는 노드에서 KeyControl VM 콘솔에 로그인합니다.

프라이빗 클라우드와 KeyControl VPC 사이의 방화벽 규칙 구성

vCenter는 KMIP 포트에서 KMIP 프로토콜로 HyTrust KeyControl과 통신합니다. 기본값은 TCP 5696입니다. 이 포트는 KeyControl 웹 인터페이스에서 구성할 수 있습니다.

  1. Google Cloud Console에서 VPC 네트워크 > 방화벽을 클릭합니다.
  2. 방화벽 규칙 만들기를 클릭합니다.
  3. 방화벽 규칙 세부정보를 입력합니다. vCenter의 IP 주소가 KMIP 포트에서 KeyControl과 통신하도록 허용합니다.

HyTrust KeyControl을 외부 KMS로 사용하도록 vCenter 구성

  1. KMIP 서버 구성
  2. vCenter에서 KMS 클러스터 만들기
  3. vCenter에서 생성된 CSR을 사용하여 vCenter와 KeyControl 사이에 신뢰할 수 있는 연결 설정