Como configurar a criptografia vSAN na nuvem privada

Para criptografar dados em repouso com a criptografia vSAN, é preciso implantar um servidor de gerenciamento de chaves (KMS, na sigla em inglês) externo. Nesta página, explicamos como usar um KMS externo e criptografar dados de máquina virtual em repouso no Google Cloud VMware Engine.

Os usuários são responsáveis por fornecer licenças para o KMS externo.

Antes de começar

  • Verifique se o fornecedor, a ferramenta e a versão do KMS selecionados estão na lista de compatibilidade da vSAN fornecida neste documento.
  • Crie um projeto do Google Cloud ou use um atual.
  • Crie uma nova nuvem particular virtual (VPC) ou escolha uma rede VPC existente.
  • Conecte a VPC selecionada ao serviço do VMware Engine usando o Acesso particular ao serviço.

Fornecedores compatíveis

Todas as soluções de KMS de terceiros compatíveis com o padrão de protocolo KMIP 1.1 e certificadas pelo VMware para vSAN podem operar com o VMware Engine. Os seguintes fornecedores validaram a solução KMS com o VMware Engine e publicaram guias de implantação e declarações de suporte.

Visão geral

O KMS fornece chaves de criptografia para o vCenter por meio de uma rede IP. É possível implantar a solução KMS no Compute Engine ou no VMware Engine (em um cluster ESXi diferente). Não é recomendado implantar o KMS no local porque qualquer interrupção da WAN pode afetar negativamente o funcionamento do cluster vSAN.

Permissões

É preciso ter permissões suficientes para implantar instâncias de VM do Compute Engine em um determinado projeto e VPC do Cloud, para conectar a VPC ao VMware Engine e para configurar regras de firewall para a VPC.

Proprietários de projetos e membros do IAM com o papel Administrador de rede podem criar intervalos de IP alocados e gerenciar conexões particulares. Para mais informações sobre papéis, consulte Papéis de VPC do IAM.

Implantar o Key Management Server no Compute Engine

Algumas soluções do KMS estão disponíveis em um formato de dispositivo no Google Cloud Marketplace. É possível implantar esses dispositivos ao importar a OVA diretamente na sua VPC ou projeto do Google Cloud.

Para o KMS baseado em software, implante uma instância de VM do Compute Engine usando a configuração (contagem de vCPU, vMem e discos) recomendada pelo fornecedor do KMS. Instale o software KMS no sistema operacional convidado. Crie a instância de VM do Compute Engine em uma VPC conectada ao VMware Engine usando o Acesso particular a serviços.

Estabelecer confiança entre o vCenter e o KMS

Depois de implantar o KMS no Compute Engine, configure o vCenter do VMware Engine para recuperar chaves de criptografia do KMS.

Primeiro, adicione os detalhes da conexão KMS ao vCenter. Em seguida, estabeleça a confiança entre o vCenter e seu KMS. Para estabelecer a confiança entre o vCenter e o KMS:

  1. Gere um certificado no vCenter.
  2. assine-o usando um token ou uma chave gerada pelo KMS;
  3. forneça ou faça o upload desse certificado ao vCenter;
  4. Confirme o status de conectividade verificando a configuração e o status do KMS na página de configuração do servidor vCenter.

Ativar criptografia vSAN

O papel padrão CloudOwner tem privilégios suficientes para ativar e gerenciar a criptografia vSAN.

Para ativar a criptografia vSAN do cliente vSphere, faça o seguinte:

  1. Navegue até um cluster atual.
  2. Clique na guia Configurar.
  3. Em "vSAN", selecione Serviços.
  4. Clique no botão Editar.
  5. Na caixa de diálogo Serviços vSAN, ative a Criptografia.
  6. Selecione um cluster do KMS.
  7. Conclua a configuração do cluster.

A seguir