VSAN-Verschlüsselung mit Thales KMS konfigurieren

Zum Verschlüsseln inaktiver Daten mit der vSAN-Verschlüsselung können Sie beispielsweise das Next Generation KeySecure Image verwenden, einen Key Management Service (KMS) von Thales.

Vorbereitung

  • Erstellen Sie ein Google Cloud-Projekt oder verwenden Sie ein vorhandenes Projekt.

Next Generation KeySecure Image aufrufen und installieren

Nach dem Erwerb des KMS erhalten Sie eine E-Mail von Thales. Klicken Sie auf Accept this invitation, um Zugriffsberechtigungen für die Google-Gruppe k170v-image-read zu erhalten.

Für den Zugriff auf ein KeySecure-Image müssen Sie das Image möglicherweise auf ein anderes Konto kopieren. Erstellen Sie dazu aus einem komprimierten Laufwerks-Image ein Compute Engine-Image. Wenden Sie sich an Ihren Vertriebsmanager oder an den Support, um die Berechtigung für den Zugriff auf komprimierte Laufwerks-Images zu erhalten.

Image aus einem komprimierten KeySecure-Image erstellen

Führen Sie den folgenden Befehl aus, um ein Image aus dem Quell-URI gs://kylo-images/k170v-2411- 20181031022613.tar.gz zu erstellen:

gcloud compute images create image-name --source-uri gs://kylo-images/k170v-2411-
20181031022613.tar.gz

Mit dem folgenden Befehl können Sie Images auflisten:

gsutil ls gs://kylo-images
gs://kylo-images/k170v-2369-20181008172807.tar.gz
gs://kylo-images/k170v-2411-20181031022613.tar.gz

Instanz aus dem KeySecure-Image erstellen

  1. Rufen Sie in der Google Cloud Console die Seite Images auf.

    Zur Seite "Images"

  2. Wählen Sie das Image k170v aus.

  3. Wählen Sie Instanz erstellen aus.

  4. Wählen Sie Neue VM-Instanz aus und konfigurieren Sie die Maschine so:

    1. Verwenden Sie für die Evaluierung ein Bootlaufwerk mit mindestens 30 GB oder für die Produktion mit mindestens 135 GB.
    2. Wählen Sie einen Maschinentyp mit 16 GB Arbeitsspeicher und mindestens 2 vCPUs aus.
  5. Erstellen Sie mit dem Schlüsselgenerator PuTTYgen einen SSH-Schlüssel.

    1. Laden Sie PuTTYgen herunter und öffnen Sie das Programm.
    2. Klicken Sie auf das Kästchen SSH-2RSA.
    3. Klicken Sie auf Generate.
    4. Speichern Sie die privaten und öffentlichen SSH-Schlüssel an einem sicheren Ort.
  6. Fügen Sie auf der Seite Instanz erstellen unter SSH-Schlüssel den öffentlichen SSH-Schlüssel ein, den Sie gerade im Fenster "SSH-Schlüssel" generiert haben.

  7. Klicken Sie auf Erstellen.

vSphere-Umgebung konfigurieren

  1. Gehen Sie in vCenter zu Configurations > More > Key management servers.
  2. Wählen Sie das Image "k170v"d aus.
  3. Klicken Sie auf Add.
  4. Erstellen Sie einen neuen Cluster: Cluster werden dazu verwendent, die Hochverfügbarkeit des Schlüsselverwaltungssystems für verschiedene Anwendungsfälle der Schlüsselverwaltung und Verschlüsselung sicherzustellen. Ein Cluster kann mehrere 170v-Knoten haben. Fügen Sie einen Clusternamen und eine erreichbare 170v-IP-Adresse hinzu und verwenden Sie Port 5696.
  5. Klicken Sie unter Establish trust auf Make vCenter trust KMS.
  6. Klicken Sie auf Trust.
  7. Generieren Sie eine neue Anfrage zum Signieren eines Zertifikats (Certificate Signing Request, CSR), um die Verbindung zwischen vCenter und k170v herzustellen. Wählen Sie New Certificate Signing Request (CSR) aus und klicken Sie auf Next. Sie können die CSR entweder kopieren oder herunterladen.

k170v-Appliance konfigurieren

  1. Melden Sie sich bei der KeySecure Management Console an.
  2. Rufen Sie in einem Browser https://IP-address auf, wobei IP-address die IP-Adresse des Servers "k170v" ist.
  3. Der Standardnutzername und das Standardpasswort sind admin.
  4. Sie werden aufgefordert, das Passwort zu ändern.
  5. Melden Sie sich noch einmal mit Ihrem neuen Nutzernamen und Passwort an.
  6. Klicken Sie in vCenter auf Keys & access management.
  7. Klicken Sie auf Registration tokens > New registration token.
  8. Klicken Sie auf Begin.
  9. Definieren Sie die Tokenmetadaten. Legen Sie Werte für Name Prefix, Token Lifetime, Certificate Duration und Client Capacity fest.
  10. Klicken Sie auf Weiter.
  11. Die standardmäßige Local CA ist bereits ausgewählt. Klicken Sie auf Create token.
  12. Kopieren Sie das generierte Registrierungstoken und klicken Sie auf Done.
  13. Gehen Sie im vCenter-Hauptmenü zu Admin settings > System > Interfaces.
  14. Konfigurieren Sie einen Port für den Server "k170v", der für die Kommunikation mit vCenter verwendet wird.
  15. KMIP verwendet den Standardport 5696. Sie können eine neue KMIP-Benutzeroberfläche bearbeiten oder erstellen. Klicken Sie dazu auf das vertikale Menü "more" () und dann auf Edit.
  16. Fügen Sie das zuvor generierte Registrierungstoken ein.
  17. Klicken Sie auf Aktualisieren.
  18. Starten Sie den KMIP-Systemdienst neu. Gehen Sie zum Menü System > Services und klicken Sie auf System restart.

CSR-Anfrage von vCenter signieren

  1. Gehen Sie in vSphere zu Keys & access management und klicken Sie auf CA.
  2. Klicken Sie unter Local certificate authorities auf den Hyperlink Subject.
  3. Wählen Sie Upload and sign CSR aus.
  4. Fügen Sie die aus vSphere kopierte CSR-Anfrage ein und klicken Sie auf Issue certificate.
  5. Klicken Sie neben dem signierten Zertifikat auf das vertikale Menü "more" () und dann auf Copy.
  6. Erstellen Sie auf 170v mit dem Namen aus dem von vCenter generierten Zertifikat einen Nutzer.
  7. Klicken Sie unter Keys & access management auf Users.
  8. Klicken Sie auf Create new user. Der Nutzername wird von der signierten CSR abgeleitet:

      /C=US/ST=California/O=VMware/OU=VMware Engineering/username=kmipClient2020060820330
      

  9. Nachdem der Nutzer erstellt wurde, klicken Sie im Navigationsmenü auf User.

  10. Klicken Sie für den soeben erstellten Nutzer auf das vertikale Menü "more" (), um Berechtigungen hinzuzufügen.

  11. Klicken Sie auf Verwalten.

  12. Klicken Sie auf Gruppen.

  13. Klicken Sie auf das Kästchen Key users, um den Nutzer der Schlüsselnutzergruppe hinzuzufügen.

Signierte CSR in vSphere hochladen

  1. Klicken Sie in vSphere auf Upload signed certificate.
  2. Wählen Sie die PEM-Datei (Privacy Enhanced Mail) für das Zertifikat aus oder kopieren Sie sie aus der k170v-Appliance und fügen Sie sie ein.
  3. Klicken Sie auf Make vCenter trust KMS.
  4. Klicken Sie auf Trust.
  5. Zum Aktivieren der vSAN-Verschlüsselung melden Sie sich beim vSphere-Client an und rufen Sie VSAN > Service auf. Klicken Sie auf Encryption und dann auf Edit, um neue Verschlüsselungsschlüssel zu generieren.
  6. Aktivieren Sie im Fenster vSAN services die Verschlüsselung. Wählen Sie den von Ihnen zuvor erstellten Cluster aus und klicken Sie auf Apply.
  7. Im Tab Records generiert vCenter ein Token und einen Schlüssel.

170v-Cluster erstellen und zu vCenter hinzufügen

Führen Sie zur Unterstützung der Hochverfügbarkeit zwei k170v-Server in Ihrem Cluster aus. Nachdem der 170v-Cluster konfiguriert wurde, werden die zuvor konfigurierten Elemente als Teil des Clustering-Prozesses repliziert. So repliziert vSphere beispielsweise Konfigurationsschritte wie das Erstellen des Registrierungstokens, das Definieren des Nutzers und das Definieren des KMIP-Ports, der Verschlüsselungsschlüssel und des CSR

  1. Wählen Sie in vSphere Key management servers aus.
  2. Wählen Sie den zusätzlichen k170v-Knoten aus und klicken Sie auf Add.
  3. Klicken Sie unter Make vCenter trust KMS auf Trust.