vSAN 暗号化を使用して保存データを暗号化するための 1 つのオプションは、次世代 KeySecure イメージである Thales Key Management Service(KMS)を使用することです。
次世代の KeySecure イメージ KMS にアクセスしてインストールする
KMS を購入すると、Thales からメール メッセージが届きます。k170v-image-read
Google グループへのアクセス権限に対する [Accept this invitation] をクリックします。
KeySecure イメージにアクセスするには、イメージを別のアカウントにコピーする必要がある場合があります。コピーを行うには、圧縮されたディスク イメージから Compute Engine イメージを作成します。圧縮されたディスク イメージの権限を得るには、セールス マネージャーまたはサポートまでお問い合わせください。
圧縮された KeySecure イメージからイメージを作成する
ソース URI gs://kylo-images/k170v-2411-
20181031022613.tar.gz
からイメージを作成するには、次のコマンドを実行します。
gcloud compute images create image-name --source-uri gs://kylo-images/k170v-2411- 20181031022613.tar.gz
次のコマンドを使用すると、イメージを一覧表示できます。
gsutil ls gs://kylo-images gs://kylo-images/k170v-2369-20181008172807.tar.gz gs://kylo-images/k170v-2411-20181031022613.tar.gz
KeySecure イメージからインスタンスを作成する
Google Cloud Console で、Compute Engine の [イメージ] ページに移動します。
k170v イメージを選択します。
[インスタンスを作成] を選択します。
[新規 VM インスタンス] を選択し、次のようにマシンを構成します。
- ブートディスク(評価用には 30 GB 以上、本番環境用には 135 GB 以上)を使用します。
- 16 GB のメモリと 2 つ以上の vCPU を搭載したマシンタイプを選択します。
PuTTYgen 鍵生成ツールを使用して SSH 認証鍵を作成します。
- PuTTYgen をダウンロードして開きます。
- [SSH-2RSA] をオンにします。
- [Generate] をクリックします。
- 秘密 SSH 認証鍵と公開 SSH 認証鍵を安全な場所に保存します。
[SSH 認証鍵] の [インスタンスの作成] ページで、SSH 認証鍵ウィンドウに生成した公開 SSH 認証鍵を貼り付けます。
[作成] をクリックします。
vSphere 環境を構成する
- vCenter で、[Configurations] > [More] > [Key Management servers] に移動します。
- k170v イメージを選択します。
- [追加] をクリックします。
- 新しいクラスタを作成します。クラスタは、さまざまな鍵の管理と暗号化のユースケースで、Key Manager の高可用性を確保します。1 つのクラスタに複数の 170v ノードを設定できます。クラスタ名と到達可能な 170v IP アドレスを含め、ポート 5696 を使用します。
- [Establish trust] で [Make vCenter trust KMS] をクリックします。
- [Trust] をクリックします。
- vCenter と k170v の間の接続を確立するため、新しい証明書署名リクエスト(CSR)を生成します。[New Certificate Signing Request (CSR)] を選択し、[Next] をクリックします。CSR をコピーまたはダウンロードできます。
k170v アプライアンスを構成する
- KeySecure 管理コンソールにログインします。
- ブラウザで https://IP-address に移動します。ここで、IP-address は k170v サーバーの IP アドレスです。
- デフォルトのユーザー名とパスワードは admin です。
- パスワードを変更するように求められます。
- 新しいユーザー名とパスワードで再度ログインします。
- vCenter で、[Keys & access management] をクリックします。
- [Registration tokens] > [New registration token] をクリックします。
- [Begin] をクリックします。
- トークン メタデータを定義します。[Name Prefix]、[Token Lifetime]、[Certificate Duration]、[Client Capacity] の値を設定します。
- [Next] をクリックします。
- デフォルトで [Local CA] はあらかじめ選択されています。[Create token] をクリックします。
- 生成された登録トークンをコピーし、[Done] をクリックします。
- vCenter メインメニューで、[Admin settings] > [System] > [Interfaces] に移動します。
- vCenter との通信に使用する k170v サーバー用のポートを構成します。
- KMIP はデフォルト ポート 5696 を使用します。KMIP のインターフェースを編集または新しく作成するには、縦のその他メニュー をクリックして、[Edit] をクリックします。
- 前の手順で生成した登録トークンを貼り付けます。
- [Update] をクリックします。
- KMIP システム サービスを再起動します。[System] > [Services] メニューに移動し、[System restart] をクリックします。
vCenter 証明書署名リクエスト(CSR)に署名する
- vSphere で、[Keys & access management] に移動して、[CA] をクリックします。
- [Local certificate authorities] で、[Subject] をクリックします。
- [Upload and sign CSR] を選択します。
- vSphere からコピーした CSR を貼り付け、[Issue certificate] をクリックします。
- 署名した証明書の横にある縦のその他メニュー をクリックして、[Copy] をクリックします。
- vCenter によって生成された証明書の名前で、170v にユーザーを作成します。
- [Keys & access management] で、[Users] をクリックします。
[Create new user] をクリックします。ユーザー名は、署名された CSR から取得されます。
/C=US/ST=California/O=VMware/OU=VMware Engineering/username=kmipClient2020060820330
ユーザーを作成したら、ナビゲーション メニューの [User] をクリックします。
権限を追加するには、作成したユーザーの縦のその他メニュー
をクリックします。[管理] をクリックします。
[Groups] をクリックします。
[Key users] チェックボックスをオンにして、ユーザーを Key Users グループに追加します。
署名済みの CSR を vSphere にアップロードする
- vSphere で、[Upload signed certificate] をクリックします。
- 証明書用のプライバシー強化メール(.PEM)ファイルを選択するか、CSR を k170v アプライアンスからコピーして貼り付けます。
- [Make vCenter trust KMS] をクリックします。
- [Trust] をクリックします。
- vSAN 暗号化を有効にするには、vSphere クライアントにログインして、[VSAN] > [Service] に移動します。[Encryption] をクリックし、[Edit] をクリックして、新しい暗号鍵を生成します。
- [vSAN services] ウィンドウで暗号化を有効にします。以前に作成したクラスタを選択し、[Apply] をクリックします。
- [Records] タブで、vCenter でトークンとキーを生成します。
170v クラスタを作成して vCenter に追加する
高可用性を実現するには、クラスタ内で 2 つの k170v サーバーを実行します。170v クラスタが構成されると、前に構成したアイテムがクラスタリング プロセスの一部として複製されます。たとえば、vSphere は、登録トークンの作成、ユーザーの定義、KMIP ポートの定義、暗号鍵、CSR などの構成手順を複製します。
- vSphere で、[Key management servers] を選択します。
- 追加の k170v ノードを選択し、[Add] をクリックします。
- [Make vCenter trust KMS] で、[Trust] をクリックします。