Configura la encriptación vSAN para la nube privada

Para encriptar datos en reposo mediante la encriptación vSAN, debes implementar un Key Management Server (KMS) externo. En esta página, se explica cómo usar un KMS externo y encriptar los datos en reposo de la máquina virtual en Google Cloud VMware Engine.

Los usuarios son responsables de proporcionar licencias para el KMS externo.

Antes de comenzar

  • Verifica que el proveedor, la herramienta y la versión de KMS que seleccionaste estén en la lista de compatibilidad de vSAN.
  • Crea un proyecto de Google Cloud o usa uno existente.
  • Crea una nube privada virtual (VPC) nueva o elige una red de VPC existente.
  • Conecta la VPC seleccionada al servicio de VMware Engine mediante el Acceso privado al servicio.

Proveedores admitidos

Todas las soluciones de KMS de terceros que cumplen con el estándar de protocolo KMIP 1.1 y están certificadas por VMware para vSAN pueden funcionar con VMware Engine. Los siguientes proveedores validaron la solución de KMS con VMware Engine y publicaron guías de implementación y declaraciones de asistencia.

Descripción general

El KMS proporciona claves de encriptación a vCenter a través de una red IP. Puedes implementar la solución KMS en Compute Engine o en VMware Engine (en un clúster de ESXi diferente). No recomendamos implementar KMS de manera local, ya que cualquier interrupción de la WAN puede afectar de forma negativa el funcionamiento del clúster de vSAN.

Permisos

Necesitas permisos suficientes para implementar instancias de VM de Compute Engine en un proyecto de Cloud y VPC determinados, conectar la VPC a VMware Engine y configurar las reglas de firewall para la VPC.

Los propietarios del proyecto y los miembros de IAM con la función de Administrador de red pueden crear rangos de IP asignados y administrar conexiones privadas. Para obtener más información sobre las funciones, consulta Funciones de IAM de VPC.

Implementa Key Management Server en Compute Engine

Algunas soluciones de KMS están disponibles en un factor de forma de dispositivo en Google Cloud Marketplace. Para implementar estos dispositivos, importa el OVA directamente en la VPC o el proyecto.

Para KMS basado en software, implementa una instancia de VM de Compute Engine con la configuración (recuento de CPU virtual, vMem y discos) recomendada por el proveedor de KMS. Instala el software de KMS en el sistema operativo invitado. Crea la instancia de VM de Compute Engine en una VPC que esté conectada a VMware Engine mediante el acceso privado al servicio.

Debes tener las licencias necesarias para la KMS porque VMware Engine no proporciona licencias de KMS.

Establece la confianza entre vCenter y KMS

Después de implementar KMS en Compute Engine, configura el vCenter de VMware Engine para recuperar las claves de encriptación de KMS.

Primero, debes agregar los detalles de conexión de KMS a vCenter y, luego, establecer la confianza entre vCenter y KMS. Para establecer la confianza entre vCenter y KMS, sigue estos pasos:

  1. Genera un certificado en vCenter.
  2. Firma mediante un token o una clave generados por el KMS.
  3. Proporciona o sube ese certificado a vCenter.
  4. Confirma el estado de la conectividad, comprueba la configuración y el estado de KMS en la página de configuración del servidor de vCenter.

Habilita la encriptación de vSAN

La función predeterminada CloudOwner tiene los privilegios suficientes para habilitar y administrar la encriptación de vSAN.

Para habilitar la encriptación de vSAN desde el cliente de vSphere, usa el siguiente procedimiento:

  1. Navega a un clúster existente.
  2. Haz clic en la pestaña Configure.
  3. En vSAN, selecciona Services.
  4. Haz clic en el botón Edit de Encryption.
  5. En el cuadro de diálogo vSAN Services, habilita Encryption.
  6. Selecciona un clúster de KMS.
  7. Completa la configuración del clúster.

Próximos pasos