vSAN-Verschlüsselung für Ihre private Cloud konfigurieren

Wenn Sie inaktive Daten mit der vSAN-Verschlüsselung verschlüsseln möchten, müssen Sie einen externen Key Management Server (KMS) bereitstellen. Auf dieser Seite wird erläutert, wie Sie einen externen KMS verwenden und inaktive VM-Daten in Google Cloud VMware Engine verschlüsseln.

Nutzer sind selbst dafür verantwortlich, die Lizenzen für ihren externen KMS bereitzustellen.

Vorbereitung

  • Prüfen Sie, ob der ausgewählte KMS-Anbieter, das Tool und die Version in der vSAN-Kompatibilitätsliste aufgeführt sind.
  • Erstellen Sie ein Google Cloud-Projekt oder verwenden Sie ein vorhandenes Projekt.
  • Erstellen Sie eine neue Virtual Private Cloud (VPC) oder wählen Sie ein vorhandenes VPC-Netzwerk aus.
  • Verbinden Sie die ausgewählte VPC über den privaten Dienstzugriff mit dem VMware Engine-Dienst.

Zugelassene Anbieter

Alle KMS-Lösungen von Drittanbietern, die dem KMIP 1.1-Protokollstandard entsprechen und von VMware für vSAN zertifiziert sind, können mit VMware Engine ausgeführt werden. Die KMS-Lösungen folgender Anbieter sind für VMware Engine validiert und es stehen Bereitstellungsanleitungen und Supportanweisungen für sie zur Verfügung.

Übersicht

Der KMS stellt Verschlüsselungsschlüssel für vCenter über ein IP-Netzwerk bereit. Sie können die KMS-Lösung in Compute Engine oder in VMware Engine (in einem anderen ESXi-Cluster) bereitstellen. Wir empfehlen, den KMS nicht lokal bereitzustellen, da jeder WAN-Ausfall die Funktionalität des vSAN-Clusters beeinträchtigen kann.

Berechtigungen

Sie benötigen ausreichende Berechtigungen, um VM-Instanzen von Compute Engine in einem bestimmten Cloud-Projekt und einer VPC bereitzustellen, Ihre VPC mit VMware Engine zu verbinden und Firewallregeln für die VPC zu konfigurieren.

Projektinhaber und IAM-Mitglieder mit der Rolle Netzwerkadministrator können zugewiesene IP-Adressbereiche erstellen und private Verbindungen verwalten. Weitere Informationen zu Rollen finden Sie unter IAM-Rollen für VPC.

Schlüsselverwaltungsserver in Compute Engine bereitstellen

Einige KMS-Lösungen sind in einem Appliance-Formfaktor über Google Cloud Marketplace verfügbar. Sie können solche Appliances bereitstellen, indem Sie die OVA direkt in Ihre VPC oder Ihr Projekt importieren.

Stellen Sie für softwarebasierte KMS eine Compute Engine-VM-Instanz bereit. Verwenden Sie dabei die vom KMS-Anbieter empfohlene Konfiguration (vCPU-Anzahl, vMem und Laufwerke). Installieren Sie die KMS-Software im Gastbetriebssystem. Erstellen Sie die Compute Engine-VM-Instanz in einer VPC, die über den privaten Dienstzugriff mit VMware Engine verbunden ist.

Sie müssen die erforderlichen Lizenzen für Ihren KMS selbst besorgen, da VMware Engine keine KMS-Lizenzen bereitstellt.

Vertrauensstellung zwischen vCenter und KMS herstellen

Nach der Bereitstellung von KMS in Compute Engine konfigurieren Sie Ihr VMware Engine vCenter so, dass die Verschlüsselungsschlüssel aus dem KMS abgerufen werden.

Sie müssen zuerst Details zu KMS-Verbindungen zu vCenter hinzufügen und dann eine Vertrauensstellung zwischen vCenter und KMS herstellen. So stellen Sie eine Vertrauensstellung zwischen vCenter und KMS her:

  1. Generieren Sie ein Zertifikat in vCenter.
  2. Signieren Sie es mit einem von Ihrem KMS generierten Token oder Schlüssel.
  3. Stellen Sie dieses Zertifikat bereit oder laden Sie es in vCenter hoch.
  4. Um den Verbindungsstatus zu verifizieren, prüfen Sie die KMS-Einstellung und den Status auf der vCenter-Serverkonfigurationsseite.

vSAN-Verschlüsselung aktivieren

Die Standardrolle CloudOwner verfügt über ausreichende Berechtigungen, um die vSAN-Verschlüsselung zu aktivieren und zu verwalten.

Gehen Sie folgendermaßen vor, um die vSAN-Verschlüsselung über den vSphere-Client zu aktivieren:

  1. Rufen Sie einen vorhandenen Cluster auf.
  2. Klicken Sie auf den Tab Konfigurieren.
  3. Wählen Sie unter "vSAN" die Option Dienste aus.
  4. Klicken Sie auf Verschlüsselung Bearbeiten.
  5. Aktivieren Sie im Dialogfeld vSAN-Dienste die Option Verschlüsselung.
  6. Wählen Sie einen KMS-Cluster aus.
  7. Schließen Sie Ihre Clusterkonfiguration ab.

Weitere Informationen