Configurer le chiffrement vSAN pour votre cloud privé

Pour chiffrer des données au repos à l'aide du chiffrement vSAN, vous devez déployer un serveur de gestion des clés externe (KMS). Cette page explique comment utiliser un KMS externe et chiffrer les données de machine virtuelle au repos dans Google Cloud VMware Engine.

Les utilisateurs sont chargés de fournir des licences pour leur service de gestion des clés externe.

Avant de commencer

  • Vérifiez que le fournisseur de service de gestion des clés, l'outil et la version sélectionnés se trouvent dans la liste de compatibilité vSAN.
  • Créez un projet Google Cloud ou utilisez-en un existant.
  • Créez un cloud privé virtuel (VPC) ou choisissez un réseau VPC existant.
  • Connectez le VPC sélectionné au service VMware Engine à l'aide de l'accès au service privé.

Fournisseurs acceptés

Toutes les solutions KMS tierces conformes à la norme KMIP 1.1 et certifiées par VMware pour vSAN peuvent fonctionner avec VMware Engine. Les fournisseurs suivants ont validé leur solution KMS avec VMware Engine et publié des guides de déploiement et des déclarations d'assistance.

Aperçu

Le KMS fournit des clés de chiffrement à vCenter via un réseau IP. Vous pouvez déployer la solution KMS dans Compute Engine ou dans VMware Engine (sur un autre cluster ESXi). Nous déconseillons de déployer le KMS sur site, car une panne de WAN peut altérer le fonctionnement du cluster vSAN.

Autorisations

Vous devez disposer des autorisations suffisantes pour déployer des instances de VM Compute Engine dans un projet Cloud et un VPC donné, connecter votre VPC à VMware Engine et configurer des règles de pare-feu pour le VPC.

Les propriétaires de projet et les membres IAM dotés du rôle Administrateur réseau peuvent créer des plages d'adresses IP allouées et gérer les connexions privées. Pour en savoir plus sur les rôles, consultez la page Rôles VPC IAM.

Déployer Key Management Server dans Compute Engine

Certaines solutions KMS sont disponibles sous forme de dispositifs dans Google Cloud Marketplace. Vous pouvez déployer ces dispositifs en important l'OVA directement dans votre VPC ou votre projet.

Pour le KMS basé sur logiciel, déployez une instance de VM Compute Engine en utilisant la configuration (nombre de processeurs virtuels, vMem et disques) recommandée par le fournisseur KMS. Installez le logiciel KMS sur le système d'exploitation invité. Créez l'instance de VM Compute Engine dans un VPC connecté à VMware Engine à l'aide de l'accès au service privé.

Vous devez disposer des licences requises pour votre KMS, car VMware Engine ne fournit pas de licences KMS.

Établir des relations d'approbation entre vCenter et KMS

Après avoir déployé le KMS dans Compute Engine, configurez VMware Engine vCenter pour récupérer les clés de chiffrement depuis ce service.

Vous devez d'abord ajouter les informations de connexion KMS à vCenter, puis établir une relation d'approbation entre vCenter et votre KMS. Pour établir une relation d'approbation entre vCenter et votre KMS :

  1. Générez un certificat dans vCenter.
  2. Signez-le à l'aide d'un jeton ou d'une clé générés par votre KMS.
  3. Fournissez ou importez ce certificat dans vCenter.
  4. Confirmez l'état de la connectivité en vérifiant le paramètre KMS et l'état sur la page de configuration du serveur vCenter.

Activer le chiffrement vSAN

Le rôle CloudOwner par défaut dispose des droits suffisants pour activer et gérer le chiffrement vSAN.

Pour activer le chiffrement vSAN à partir du client vSphere, procédez comme suit :

  1. Accédez à un cluster existant.
  2. Cliquez sur l'onglet Configurer.
  3. Sous vSAN, sélectionnez Services.
  4. Cliquez sur le bouton Modifier (Chiffrement).
  5. Dans la boîte de dialogue Services vSAN, activez le Chiffrement.
  6. Sélectionnez un cluster KMS.
  7. Terminez la configuration de votre cluster.

Étapes suivantes