使用 Thales KMS 配置 vSAN 加密

要使用 vSAN 加密对静态数据进行加密,选项之一是使用 Next Generation KeySecure Image,这是一项 Thales 密钥管理服务 (KMS)。

访问并安装 Next Generation KeySecure Image KMS

购买 KMS 后,您会收到一封来自 Thales 的电子邮件。点击 Accept this invitation 以获取 k170v-image-read Google 群组的访问权限。

要访问 KeySecure 映像,您可能需要将该映像复制到另一个帐号。为此,请使用压缩的磁盘映像创建 Compute Engine 映像。如需获得压缩磁盘映像的权限,请联系您的销售经理或支持团队。

根据压缩的 KeySecure 映像创建映像

如需从来源 URI gs://kylo-images/k170v-2411- 20181031022613.tar.gz 创建映像,请运行以下命令:

gcloud compute images create image-name --source-uri gs://kylo-images/k170v-2411-
20181031022613.tar.gz

您可以使用以下命令列出映像:

gsutil ls gs://kylo-images
gs://kylo-images/k170v-2369-20181008172807.tar.gz
gs://kylo-images/k170v-2411-20181031022613.tar.gz

根据 KeySecuritye 映像创建实例

  1. 在 Google Cloud Console 中,转到 Compute Engine 映像页面。

    转到“映像”页面

  2. 选择 k170v 映像。

  3. 选择创建实例

  4. 选择新建虚拟机实例,并按如下所示配置机器:

    1. 使用至少 30 GB 的启动磁盘用于评估用途,或至少 135 GB 用于生产用途。
    2. 选择具有 16 GB 内存和至少 2 个 vCPU 的机器类型。
  5. 使用 PuTTYgen 密钥生成器创建 SSH 密钥。

    1. 下载并打开 PuTTYgen。
    2. 选中 SSH-2RSA
    3. 点击生成
    4. 将 SSH 私钥和公钥保存在安全的位置。
  6. 创建实例页面中,在 SSH 密钥下粘贴您刚刚在 SSH 密钥窗口中生成的 SSH 公钥。

  7. 点击创建

配置 vSphere 环境

  1. 在 vCenter 中,导航至 Configurations > More > Key management servers
  2. 选择 k170v 映像。
  3. 点击添加
  4. 创建新集群:集群用于确保密钥管理器在各种密钥管理和加密用例中的高可用性。一个集群可以有多个 170v 个节点。添加集群名称和一个可访问的 170v IP 地址,并使用端口 5696。
  5. Establish trust 下,点击 Make vCenter trust KMS
  6. 点击 Trust
  7. 生成新的证书签名请求 (CSR) 来帮助建立 vCenter 和 k170v 之间的连接。选择 New Certificate Signing Request (CSR),然后点击 Next。您可以复制或下载 CSR。

配置 k170v 设备

  1. 登录 KeySecure 管理控制台。
  2. 在浏览器中,导航到 https://IP-address,其中 IP-address 是您的 k170v 服务器 IP 地址。
  3. 默认用户名和密码为 admin
  4. 系统会提示您更改密码。
  5. 使用新的用户名和密码重新登录。
  6. 在 vCenter 中,点击 Keys & access management
  7. 点击 Registration tokens > New registration token
  8. 点击 Begin
  9. 定义令牌元数据。设置 Name PrefixToken LifetimeCertificate DurationClient Capacity 的值。
  10. 点击下一步
  11. 已预先选择了默认的 Local CA。点击 Create token
  12. 复制生成的注册令牌,然后点击 Done
  13. 在 vCenter 主菜单上,导航至 Admin settings > System > Interfaces
  14. 为 k170v 服务器配置端口,用于与 vCenter 通信。
  15. KMIP 使用默认端口 5696。要修改或创建新的 KMIP 接口,请点击垂直的更多菜单 ,然后点击 Edit
  16. 粘贴您之前生成的注册令牌。
  17. 点击更新
  18. 重启 KMIP 系统服务。导航到 System > Services 菜单并点击 System restart

签署 vCenter 证书签名请求 (CSR)

  1. 在 vSphere 中,导航至 Keys & access management 并点击 CA
  2. Local certificate authorities 下方,点击 Subject 超链接。
  3. 选择 Upload and sign CSR
  4. 粘贴从 vSphere 复制的 CSR,然后点击 Issue certificate
  5. 点击您签名的证书旁边垂直的更多菜单 ,然后点击 Copy
  6. 使用 vCenter 生成的证书名称在 170v 上创建一个用户。
  7. Keys & access management 中,点击 Users
  8. 点击 Create new user。用户名来自签名 CSR:

    /C=US/ST=California/O=VMware/OU=VMware Engineering/username=kmipClient2020060820330
    
  9. 创建用户后,在导航菜单中点击 User

  10. 要添加权限,请点击刚创建的用户对应的垂直的“更多”菜单

  11. 点击 Manage

  12. 点击群组

  13. 选中 Key users,以将用户添加到密钥用户组。

将签名 CSR 上传到 vSphere

  1. 在 vSphere 中,点击 Upload signed certificate
  2. 为证书选择保密增强邮件 (.PEM) 文件,或者从 k170v 设备复制并粘贴 CSR。
  3. 点击 Make vCenter trust KMS
  4. 点击 Trust
  5. 要启用 vSAN 加密,请登录 vSphere 客户端并导航至 VSAN > Service。点击 Encryption,然后点击 Edit 以生成新的加密密钥。
  6. vSAN services 窗口中,启用加密。选择您之前创建的集群,然后点击应用
  7. Records 标签中,vCenter 会生成令牌和密钥。

创建 170v 集群并添加到 vCenter

要支持高可用性,请在集群中运行两个 k170v 服务器。配置 170v 集群后,之前配置的项会被复制为集群创建过程的一部分。例如,vSphere 会复制创建注册令牌、定义用户、定义 KMIP 端口、加密密钥和 CSR 等配置步骤。

  1. 在 vSphere 中,选择 Key management servers
  2. 选择另一个 k170v 节点,然后点击 Add
  3. Make vCenter trust KMS 下,点击 Trust