CipherTrust Manager を使用した vSAN 暗号化の構成

vSAN 暗号化を使用して保存データを暗号化するには、鍵管理サービス(KMS)の Thale CipherTrust を使用します。

KMS にアクセスしてインストールする

KMS を購入すると、Thales からメール メッセージが届きます。k170v-image-read Google グループへのアクセス権限に対する [Accept this invitation] をクリックします。

CipherTrust Manager イメージにアクセスするために、別のアカウントにイメージをコピーしなければならない場合があります。コピーを行うには、圧縮されたディスク イメージから Compute Engine イメージを作成します。圧縮されたディスク イメージの権限を得るには、セールス マネージャーまたは Cloud カスタマーケアにお問い合わせください。

圧縮された CipherTrust Manager イメージからイメージを作成する

ソース URI gs://kylo-images/k170v-2411- 20181031022613.tar.gz からイメージを作成するには、次のコマンドを実行します。

gcloud compute images create image-name --source-uri gs://kylo-images/k170v-2411-
20181031022613.tar.gz

次のコマンドを使用すると、イメージを一覧表示できます。

gsutil ls gs://kylo-images
gs://kylo-images/k170v-2369-20181008172807.tar.gz
gs://kylo-images/k170v-2411-20181031022613.tar.gz

イメージからインスタンスを作成する

  1. Google Cloud Console で、Compute Engine の [イメージ] ページに移動します。

    [イメージ] ページに移動

  2. k170v イメージを選択します。

  3. [インスタンスを作成] を選択します。

  4. [新規 VM インスタンス] を選択し、次のようにマシンを構成します。

    1. ブートディスク(評価用には 30 GB 以上、本番環境用には 135 GB 以上)を使用します。
    2. 16 GB のメモリと 2 つ以上の vCPU を搭載したマシンタイプを選択します。
  5. PuTTYgen 鍵生成ツールを使用して SSH 認証鍵を作成します。

    1. PuTTYgen をダウンロードして開きます。
    2. [SSH-2RSA] をオンにします。
    3. [Generate] をクリックします。
    4. 秘密 SSH 認証鍵と公開 SSH 認証鍵を安全な場所に保存します。
  6. [SSH 認証鍵] の [インスタンスの作成] ページで、SSH 認証鍵ウィンドウに生成した公開 SSH 認証鍵を貼り付けます。

  7. [作成] をクリックします。

vSphere 環境を構成する

  1. vCenter で、[Configurations] > [More] > [Key Management servers] に移動します。
  2. k170v イメージを選択し、[Add] をクリックします。
  3. 新しいクラスタを作成します。クラスタは、さまざまな鍵の管理と暗号化のユースケースで、Key Manager の高可用性を確保します。1 つのクラスタに複数の k170v ノードを設定できます。クラスタ名と到達可能な k170v IP アドレスを含め、ポート 5696 を使用します。
  4. [Establish trust] で [Make vCenter trust KMS] をクリックします。
  5. [Trust] をクリックします。
  6. vCenter と k170v の間の接続を確立するため、新しい証明書署名リクエスト(CSR)を生成します。[New Certificate Signing Request (CSR)] を選択し、[Next] をクリックします。CSR をコピーまたはダウンロードできます。

k170v アプライアンスを構成する

  1. ブラウザで https://IP-address に移動します。ここで、IP-address は k170v サーバーの IP アドレスです。
  2. デフォルトのユーザー名とパスワードは admin です。パスワードを変更するように求められます。
  3. 新しいユーザー名とパスワードで再度ログインします。
  4. vCenter で、[Keys & access management] をクリックします。
  5. [Registration tokens] > [New registration token] をクリックします。
  6. [Begin] をクリックします。
  7. トークン メタデータを定義します。[Name Prefix]、[Token Lifetime]、[Certificate Duration]、[Client Capacity] の値を設定します。
  8. [Next] をクリックします。
  9. デフォルトで [Local CA] はあらかじめ選択されています。[Create token] をクリックします。
  10. 生成された登録トークンをコピーし、[Done] をクリックします。
  11. vCenter メインメニューで、[Admin settings] > [System] > [Interfaces] に移動します。
  12. vCenter との通信に使用する k170v サーバー用のポートを構成します。
  13. KMIP はデフォルト ポート 5696 を使用します。KMIP のインターフェースを編集または作成するには、縦のその他メニュー をクリックして、[Edit] をクリックします。
  14. 前の手順で生成した登録トークンを貼り付けます。
  15. [Update] をクリックします。
  16. KMIP システム サービスを再起動します。[System] > [Services] メニューに移動し、[System restart] をクリックします。

vCenter 証明書署名リクエスト(CSR)に署名する

  1. vSphere で、[Keys & access management] に移動して、[CA] をクリックします。
  2. [Local certificate authorities] で、[Subject] をクリックします。
  3. [Upload and sign CSR] を選択します。
  4. vSphere からコピーした CSR を貼り付け、[Issue certificate] をクリックします。
  5. 署名した証明書の横にあるその他アイコン をクリックし、[Copy] をクリックします。
  6. vCenter によって生成された証明書の名前で、k170v にユーザーを作成します。
  7. [Keys & access management] で、[Users] をクリックします。
  8. [Create new user] をクリックします。ユーザー名は、署名された CSR から取得されます。

    /C=US/ST=California/O=VMware/OU=VMware Engineering/username=kmipClient2020060820330
    
  9. ユーザーを作成したら、ナビゲーション メニューの [User] をクリックします。

  10. 権限を追加するには、作成したユーザーの縦のその他メニュー をクリックします。

  11. [Manage] をクリックします。

  12. [Groups] をクリックします。

  13. [Key users] チェックボックスをオンにして、ユーザーを Key Users グループに追加します。

署名済みの CSR を vSphere にアップロードする

  1. vSphere で、[Upload signed certificate] をクリックします。
  2. 証明書用のプライバシー強化メール(.PEM)ファイルを選択するか、CSR を k170v アプライアンスからコピーして貼り付けます。
  3. [Make vCenter trust KMS] をクリックします。
  4. [Trust] をクリックします。
  5. vSAN 暗号化を有効にするには、vSphere クライアントにログインして、[VSAN] > [Service] に移動します。[Encryption] をクリックし、[Edit] をクリックして、新しい暗号鍵を生成します。
  6. [vSAN services] ウィンドウで暗号化を有効にします。前に作成したクラスタを選択し、[Apply] をクリックします。
  7. [Records] タブで、vCenter でトークンとキーを生成します。

k170v クラスタを作成して vCenter に追加する

高可用性を実現するには、クラスタ内で 2 つの k170v サーバーを実行します。k170v クラスタが構成されると、前に構成したアイテムがクラスタリング プロセスの一部として複製されます。たとえば、vSphere は、登録トークンの作成、ユーザーの定義、KMIP ポートの定義、暗号鍵、CSR などの構成手順を複製します。

  1. vSphere で、[Key management servers] を選択します。
  2. 追加の k170v ノードを選択し、[Add] をクリックします。
  3. [Make vCenter trust KMS] で、[Trust] をクリックします。