为您的私有云配置 vSAN 加密

加密 vSAN 静态数据需要密钥管理系统 (KMS)。默认情况下,Google Cloud VMware Engine 中 vSAN 数据加密密钥管理会将 Cloud Key Management Service 用于新创建的私有云,无需额外费用。

您还可以选择通过下面某个受支持的供应商部署外部 KMS 以加密静态 vSAN 数据。本页面介绍了如何使用外部 KMS 以及如何在 VMware Engine 中加密静态虚拟机数据。

对于生产工作负载,请按照以下步骤使用受支持的供应商提供的 KMS。

默认密钥提供商

VMware Engine 使用 Cloud KMS 配置新创建的私有云,以将 vCenter 连接到由 Google 管理的密钥提供商。Cloud KMS 在所有区域都具备高可用性。

由于集群是在私有云中创建的,因此,VMware Engine 默认会对所有集群中的数据启用 vSAN 加密。

如需在 vSphere 中执行密钥轮替,请参阅 VMware 文档生成新的静态数据加密密钥

支持的供应商

如需切换活跃的 KMS,您可以选择符合 KMIP 1.1 且经过 VMware for vSAN 认证的第三方 KMS 解决方案。

以下供应商已使用 VMware Engine 验证其 KMS 解决方案,并发布了部署指南和支持语句:

使用受支持的供应商

KMS 通过 IP 网络向 vCenter 提供加密密钥。您可以在 Compute Engine 或 VMware Engine(在不同的集群中)上部署 KMS 解决方案。我们建议您不要在本地部署 KMS,因为任何 WAN 服务中断都会对 vSAN 集群的运行方式产生负面影响。

KMS 的每个部署都需要执行一些基本步骤:

  • 创建 Google Cloud 项目或使用现有项目。
  • 创建新的虚拟私有云 (VPC) 网络或选择现有的 VPC 网络。
  • 使用专用服务访问通道将您选择的 VPC 网络连接到 VMware Engine 服务。

然后,在 Compute Engine 虚拟机实例中部署 KMS:

  1. 设置部署 Compute Engine 虚拟机实例所需的 IAM 权限。
  2. 在 Compute Engine 中部署 KMS。
  3. 在 vCenter 和 KMS 之间建立信任关系。
  4. 启用 vSAN 数据加密。

以下部分简要描述了使用某个受支持的供应商的过程。

设置 IAM 权限

您需要足够的权限在给定云项目和 VPC 网络中部署 Compute Engine 虚拟机实例,将您的 VPC 网络连接到 VMware Engine,并为 VPC 网络配置防火墙规则。

拥有 Network Admin 角色的项目所有者和 IAM 成员可以创建分配的 IP 范围并管理专用连接。如需详细了解角色,请参阅 Compute Engine IAM 角色

在 Compute Engine 中部署密钥管理系统

一些 KMS 解决方案在 Google Cloud Marketplace 中以设备类型提供。您可以通过直接在 VPC 网络或 Google Cloud 项目中导入 OVA 来部署此类设备。

对于基于软件的 KMS,请使用 KMS 供应商推荐的配置(vCPU 计数,vMem 和磁盘)部署 Compute Engine 虚拟机实例。在访客操作系统中安装 KMS 软件。在使用专用服务访问通道连接到 VMware Engine 的 VPC 网络中创建 Compute Engine 虚拟机实例。

在 vCenter 和 KMS 之间建立信任关系

在 Compute Engine 中部署 KMS 后,请配置 VMware Engine vCenter 以从 KMS 检索加密密钥。

首先将 KMS 连接详细信息添加到 vCenter。然后,在 vCenter 和 KMS 之间建立信任关系。如需在 vCenter 和 KMS 之间建立信任关系,请执行以下操作:

  1. 在 vCenter 中生成证书。
  2. 使用 KMS 生成的令牌或密钥对其进行签名。
  3. 将该证书提供或上传到 vCenter。
  4. 通过检查 vCenter 服务器配置页面中的 KMS 设置和状态确认连接状态。

启用 vSAN 数据加密

在 vCenter 中,默认的 CloudOwner 用户具有启用和管理 vSAN 数据加密所需的足够权限。

如需从 vSphere 客户端启用 vSAN 数据加密,请执行以下操作:

  1. 导航到现有集群。
  2. 点击 配置 标签页。
  3. 在 vSAN 下方,选择 服务
  4. 点击“加密” 修改 按钮。
  5. vSAN Services 对话框中,启用加密
  6. 选择 KMS 集群。
  7. 完成集群配置。

后续步骤