为您的私有云配置 vSAN 加密

要使用 vSAN 加密对静态数据进行加密,您必须部署 Key Management Server(KMS)。本页面介绍了如何在 Google Cloud VMware Engine 中使用外部 KMS 和加密静态虚拟机数据。

用户负责为其外部 KMS 提供许可。

准备工作

  • 验证所选的 KMS 供应商,工具和版本是否在 vSAN 兼容性列表中。
  • 创建 Google Cloud 项目或使用现有项目。
  • 创建新的虚拟私有云(VPC)或选择现有的 VPC 网络。
  • 使用专用服务访问权限将您选择的 VPC 连接到 VMware Engine。

支持的供应商

符合 KMIP 1.1 协议标准且经过 VMware 用于 vSAN 的所有第三方 KMS 解决方案均可与 VMware Engine 运行。以下供应商已使用 VMware Engine 验证其 KMS 解决方案,并发布了部署指南和支持语句。

概览

KMS 通过 IP 网络向 vCenter 提供加密密钥。您可以在 Compute Engine 或 VMware Engine(在不同的集群中)上部署 KMS 解决方案。我们建议您不要在本地部署 KMS,因为任何 WAN 服务中断都会对 vSAN 集群的运行产生负面影响。

权限

您需要足够的权限在给定云项目和 VPC 中部署 Compute Engine 虚拟机实例,将您的 VPC 连接到 VMware Engine,并为 VPC 配置防火墙规则。

拥有 Network Admin 角色的项目 Owner 和 IAM 成员可以创建分配的 IP 范围并管理专用连接。如需详细了解角色,请参阅 VPC IAM 角色

在 Compute Engine 中部署 Key Management Server

一些 KMS 解决方案在 Google Cloud Marketplace 中以设备类型提供。您可以通过直接在 VPC 或项目中导入 OVA 来部署此类设备。

对于基于软件的 KMS,请使用 KMS 供应商推荐的配置(vCPU 计数,vMem 和磁盘)部署 Compute Engine 虚拟机实例。在访客操作系统中安装 KMS 软件。在具有专用服务访问权限的 VPC 中创建 Compute Engine 虚拟机实例。

您必须拥有 KMS 所需的许可,因为 VMware Engine 不提供 KMS 许可。

在 vCenter 和 KMS之间建立信任关系

在 Compute Engine 中部署 KMS 后,请配置 VMware Engine vCenter 以从 KMS 检索加密密钥。

您必须先将 KMS 连接详细信息添加到 vCenter 中,然后在 vCenter 与您的 KMS 之间建立信任关系。要在 vCenter 和您的 KMS 之间建立信任关系,请执行以下操作:

  1. 在 vCenter 中生成证书。
  2. 使用 KMS 生成的令牌或密钥对其进行签名。
  3. 将该证书提供或上传到 vCenter。
  4. 通过检查 vCenter 服务器配置页面中的 KMS 设置和状态确认连接状态。

启用 vSAN 加密

默认的 CloudOwner 角色具有启用和管理 vSAN 加密所需的足够权限。

要从 vSphere 客户端启用 vSAN 加密,请按以下步骤操作:

  1. 导航到现有集群。
  2. 点击 配置 标签页。
  3. 在 vSAN 下方,选择 服务
  4. 点击“加密” 修改 按钮。
  5. vSAN Services 对话框中,启用加密
  6. 选择 KMS 集群。
  7. 完成集群配置。

后续步骤