Thales KMS を使用した vSAN 暗号化の構成

vSAN 暗号化を使用して保存データを暗号化するための 1 つのオプションは、次世代 KeySecure イメージである Thales Key Management Service（KMS）を使用することです。

次世代の KeySecure イメージ KMS にアクセスしてインストールする

KMS を購入すると、Thales からメールメッセージが届きます。k170v-image-read Google グループへのアクセス権限に対する [Accept this invitation] をクリックします。

KeySecure イメージにアクセスするには、イメージを別のアカウントにコピーする必要がある場合があります。コピーを行うには、圧縮されたディスクイメージから Compute Engine イメージを作成します。圧縮されたディスクイメージの権限を得るには、セールスマネージャーまたはサポートまでお問い合わせください。

圧縮された KeySecure イメージからイメージを作成する

ソース URI gs://kylo-images/k170v-2411- 20181031022613.tar.gz からイメージを作成するには、次のコマンドを実行します。

gcloud compute images create image-name --source-uri gs://kylo-images/k170v-2411-
20181031022613.tar.gz

次のコマンドを使用すると、イメージを一覧表示できます。

gsutil ls gs://kylo-images
gs://kylo-images/k170v-2369-20181008172807.tar.gz
gs://kylo-images/k170v-2411-20181031022613.tar.gz

KeySecure イメージからインスタンスを作成する

Google Cloud Console で、Compute Engine の [イメージ] ページに移動します。

[イメージ] ページに移動
k170v イメージを選択します。
[インスタンスを作成] を選択します。
[新規 VM インスタンス] を選択し、次のようにマシンを構成します。
1. ブートディスク（評価用には 30 GB 以上、本番環境用には 135 GB 以上）を使用します。
2. 16 GB のメモリと 2 つ以上の vCPU を搭載したマシンタイプを選択します。
PuTTYgen 鍵生成ツールを使用して SSH 認証鍵を作成します。
1. PuTTYgen をダウンロードして開きます。
2. [SSH-2RSA] をオンにします。
3. [Generate] をクリックします。
4. 秘密 SSH 認証鍵と公開 SSH 認証鍵を安全な場所に保存します。
[SSH 認証鍵] の [インスタンスの作成] ページで、SSH 認証鍵ウィンドウに生成した公開 SSH 認証鍵を貼り付けます。
[作成] をクリックします。

vSphere 環境を構成する

vCenter で、[Configurations] > [More] > [Key Management servers] に移動します。
k170v イメージを選択します。
[追加] をクリックします。
新しいクラスタを作成します。クラスタは、さまざまな鍵の管理と暗号化のユースケースで、Key Manager の高可用性を確保します。1 つのクラスタに複数の 170v ノードを設定できます。クラスタ名と到達可能な 170v IP アドレスを含め、ポート 5696 を使用します。
[Establish trust] で [Make vCenter trust KMS] をクリックします。
[Trust] をクリックします。
vCenter と k170v の間の接続を確立するため、新しい証明書署名リクエスト（CSR）を生成します。[New Certificate Signing Request (CSR)] を選択し、[Next] をクリックします。CSR をコピーまたはダウンロードできます。

k170v アプライアンスを構成する

KeySecure 管理コンソールにログインします。
ブラウザで https://IP-address に移動します。ここで、IP-address は k170v サーバーの IP アドレスです。
デフォルトのユーザー名とパスワードは admin です。
パスワードを変更するように求められます。
新しいユーザー名とパスワードで再度ログインします。
vCenter で、[Keys & access management] をクリックします。
[Registration tokens] > [New registration token] をクリックします。
[Begin] をクリックします。
トークンメタデータを定義します。[Name Prefix]、[Token Lifetime]、[Certificate Duration]、[Client Capacity] の値を設定します。
[Next] をクリックします。
デフォルトで [Local CA] はあらかじめ選択されています。[Create token] をクリックします。
生成された登録トークンをコピーし、[Done] をクリックします。
vCenter メインメニューで、[Admin settings] > [System] > [Interfaces] に移動します。
vCenter との通信に使用する k170v サーバー用のポートを構成します。
KMIP はデフォルトポート 5696 を使用します。KMIP のインターフェースを編集または新しく作成するには、縦のその他メニューをクリックして、[Edit] をクリックします。
前の手順で生成した登録トークンを貼り付けます。
[Update] をクリックします。
KMIP システムサービスを再起動します。[System] > [Services] メニューに移動し、[System restart] をクリックします。

vCenter 証明書署名リクエスト（CSR）に署名する

vSphere で、[Keys & access management] に移動して、[CA] をクリックします。
[Local certificate authorities] で、[Subject] をクリックします。
[Upload and sign CSR] を選択します。
vSphere からコピーした CSR を貼り付け、[Issue certificate] をクリックします。
署名した証明書の横にある縦のその他メニューをクリックして、[Copy] をクリックします。
vCenter によって生成された証明書の名前で、170v にユーザーを作成します。
[Keys & access management] で、[Users] をクリックします。
[Create new user] をクリックします。ユーザー名は、署名された CSR から取得されます。
```
/C=US/ST=California/O=VMware/OU=VMware Engineering/username=kmipClient2020060820330
```
ユーザーを作成したら、ナビゲーションメニューの [User] をクリックします。
権限を追加するには、作成したユーザーの縦のその他メニューをクリックします。
[管理] をクリックします。
[Groups] をクリックします。
[Key users] チェックボックスをオンにして、ユーザーを Key Users グループに追加します。

署名済みの CSR を vSphere にアップロードする

vSphere で、[Upload signed certificate] をクリックします。
証明書用のプライバシー強化メール（.PEM）ファイルを選択するか、CSR を k170v アプライアンスからコピーして貼り付けます。
[Make vCenter trust KMS] をクリックします。
[Trust] をクリックします。
vSAN 暗号化を有効にするには、vSphere クライアントにログインして、[VSAN] > [Service] に移動します。[Encryption] をクリックし、[Edit] をクリックして、新しい暗号鍵を生成します。
[vSAN services] ウィンドウで暗号化を有効にします。以前に作成したクラスタを選択し、[Apply] をクリックします。
[Records] タブで、vCenter でトークンとキーを生成します。

170v クラスタを作成して vCenter に追加する

高可用性を実現するには、クラスタ内で 2 つの k170v サーバーを実行します。170v クラスタが構成されると、前に構成したアイテムがクラスタリングプロセスの一部として複製されます。たとえば、vSphere は、登録トークンの作成、ユーザーの定義、KMIP ポートの定義、暗号鍵、CSR などの構成手順を複製します。

vSphere で、[Key management servers] を選択します。
追加の k170v ノードを選択し、[Add] をクリックします。
[Make vCenter trust KMS] で、[Trust] をクリックします。