Como configurar a criptografia vSAN na nuvem privada

A criptografia de dados em vSAN em repouso requer um sistema de gerenciamento de chaves (KMS, na sigla em inglês). O gerenciamento de chaves para criptografia de dados em vSAN no Google Cloud VMware Engine usa o Cloud Key Management Service para nuvens privadas recém-criadas por padrão, sem custo adicional.

Você também pode optar por implantar um KMS externo para a criptografia de dados vSAN em repouso de um dos fornecedores compatíveis abaixo. Nesta página, explicamos como usar um KMS externo e criptografar dados em repouso de máquina virtual no VMware Engine.

Para cargas de trabalho de produção, siga as etapas abaixo para usar o KMS em um fornecedor compatível.

Provedor de chaves padrão

O VMware Engine configura nuvens privadas recém-criadas para conectar o vCenter a um provedor de chaves gerenciado pelo Google, aproveitando o Cloud KMS. O Cloud KMS está altamente disponível em todas as regiões.

Por padrão, o VMware Engine ativa a criptografia vSAN para dados em todos os clusters à medida que eles são criados em uma nuvem privada.

Para executar rotações de chaves no vSphere, consulte a documentação do VMware Gerar novas chaves de criptografia de dados em repouso.

Fornecedores compatíveis

Para alternar seu KMS ativo, selecione uma solução de KMS de terceiros compatível com o KMS 1.1 e certificada pela VMware para vSAN.

Os seguintes fornecedores validaram a solução KMS com o VMware Engine e publicaram guias de implantação e declarações de suporte.

Como usar um fornecedor compatível

O KMS fornece chaves de criptografia para o vCenter por meio de uma rede IP. É possível implantar a solução KMS no Compute Engine ou no VMware Engine (em um cluster ESXi diferente). Não recomendamos implantar o KMS no local porque qualquer interrupção da WAN pode afetar negativamente o funcionamento do cluster vSAN.

Cada implantação de um KMS requer algumas etapas básicas:

  • Crie um projeto do Google Cloud ou use um atual.
  • Crie uma nova nuvem particular virtual (VPC) ou escolha uma rede VPC existente.
  • Conecte a rede VPC selecionada ao serviço do VMware Engine usando o Acesso privado a serviços.

Em seguida, implante o KMS em uma instância de VM do Compute Engine:

  1. Configure as permissões necessárias do IAM para implantar instâncias de VM do Compute Engine.
  2. Implante o KMS no Compute Engine.
  3. Estabeleça confiança entre o vCenter e o KMS.
  4. Ative a criptografia de dados vSAN.

As seções a seguir descrevem brevemente esse processo de uso de um dos fornecedores compatíveis.

Configurar permissões do IAM

É preciso ter permissões suficientes para implantar instâncias de VM do Compute Engine em um determinado projeto e VPC do Cloud, para conectar a VPC ao VMware Engine e para configurar regras de firewall para a VPC.

Proprietários de projetos e principais do IAM com o papel de administrador de rede podem criar intervalos de IP alocados e gerenciar conexões particulares. Para mais informações sobre papéis, consulte Papéis do IAM do Compute Engine.

Implantar o sistema de gerenciamento de chaves no Compute Engine

Algumas soluções do KMS estão disponíveis em um formato de dispositivo no Google Cloud Marketplace. É possível implantar esses dispositivos ao importar a OVA diretamente na sua VPC ou projeto do Google Cloud.

Para o KMS baseado em software, implante uma instância de VM do Compute Engine usando a configuração (contagem de vCPU, vMem e discos) recomendada pelo fornecedor do KMS. Instale o software KMS no sistema operacional convidado. Crie a instância de VM do Compute Engine em uma VPC conectada ao VMware Engine usando o Acesso privado a serviços.

Estabelecer confiança entre o vCenter e o KMS

Depois de implantar o KMS no Compute Engine, configure o vCenter do VMware Engine para recuperar chaves de criptografia do KMS.

Primeiro, adicione os detalhes da conexão KMS ao vCenter. Em seguida, estabeleça a confiança entre o vCenter e seu KMS. Para estabelecer confiança entre o vCenter e o KMS, faça o seguinte:

  1. Gere um certificado no vCenter.
  2. assine-o usando um token ou uma chave gerada pelo KMS;
  3. forneça ou faça o upload desse certificado ao vCenter;
  4. Confirme o status de conectividade verificando a configuração e o status do KMS na página de configuração do servidor vCenter.

Ativar criptografia de dados vSAN

No vCenter, o usuário CloudOwner padrão tem privilégios suficientes para ativar e gerenciar a criptografia de dados vSAN.

Para ativar a criptografia vSAN pelo cliente do vSphere:

  1. Navegue até um cluster atual.
  2. Clique na guia Configurar.
  3. Em "vSAN", selecione Serviços.
  4. Clique no botão Editar.
  5. Na caixa de diálogo Serviços vSAN, ative a Criptografia.
  6. Selecione um cluster do KMS.
  7. Conclua a configuração do cluster.

A seguir