vSAN 加密简介

加密 vSAN 静态数据需要密钥管理系统 (KMS)。默认情况下，Google Cloud VMware Engine 中 vSAN 数据加密密钥管理会将 Cloud Key Management Service 用于新创建的私有云，无需额外费用。

您可以选择通过下面某个受支持的供应商部署外部 KMS 以加密静态 vSAN 数据。本页面介绍了 vSAN 加密行为，并总结了如何使用外部 KMS 在 VMware Engine 中加密虚拟机静态数据。

vSAN 数据加密

默认情况下，VMware Engine 会对主要集群和随后添加到私有云的集群中的数据启用 vSAN 加密。vSAN 静态数据加密使用数据加密密钥 (DEK)，该密钥在加密后存储在集群的本地物理磁盘上。DEK 是由 ESXi 主机自动生成的符合 FIPS 140-2 的 AES-256 位加密密钥。由 Google 管理的密钥提供商提供的 KEK（密钥加密密钥）用于加密 DEK。

我们强烈建议不要对静态数据停用 vSAN 加密功能，因为它可能会导致您违反 Google Cloud VMware Engine 的服务专用条款。如果在集群上对静态数据停用 vSAN 加密功能，则 VMware Engine 监控逻辑会引发提醒。为了帮助您防止违反服务条款，此提醒会触发 Cloud Customer Care 驱动的操作，以在受影响的集群上重新启用 vSAN 加密功能。

同样，如果您配置外部 KMS，我们强烈建议不要在 vCenter 服务器中删除 Cloud Key Management Service 的密钥提供商配置。

默认密钥提供商

VMware Engine 会在新创建的私有云中配置 vCenter 服务器，以连接到 Google 管理的密钥提供商。VMware Engine 会为每个区域创建一个密钥提供商实例，密钥提供商使用 Cloud KMS 对 KEK 进行加密。VMware Engine 可全面管理密钥提供商，并将其配置为在所有区域中都具备高可用性。

由 Google 管理的密钥提供商是对 vCenter 服务器中的原生密钥提供商的补充（在 vSphere 7.0 Update 2 及更高版本中），这是针对生产环境的推荐方法。原生密钥提供商在 vCenter 服务器中作为进程运行，该服务器在 VMware Engine 中的 vSphere 集群上运行。VMware 建议不要使用原生密钥提供商来加密托管 vCenter 服务器的集群。请改为使用 Google 管理的默认密钥提供商或外部 KMS。

密钥轮替

使用默认密钥提供商时，您需要负责轮替 KEK。如需在 vSphere 中轮替 KEK，请参阅 VMware 文档生成新的静态数据加密密钥。

如需获取在 vSphere 中轮替密钥的更多方法，请参阅以下 VMware 资源：

• GitHub 上的 PowerCLI 示例脚本
• vSAN Management API

支持的供应商

如需切换活跃的 KMS，您可以选择符合 KMIP 1.1 且经过 VMware for vSAN 认证的第三方 KMS 解决方案。以下供应商已使用 VMware Engine 验证其 KMS 解决方案，并发布了部署指南和支持语句：

• Thales CipherTrust Manager
• HyTrust KeyControl
• Fortanix Self Defending KMS

如需获取配置说明，请参阅以下文档：

• 使用 Fortanix KMS 配置 vSAN 加密
• 使用 CipherTrust Manager 配置 vSAN 加密
• 使用 HyTrust KeyControl 配置 vSAN 加密

使用支持的供应商

外部 KMS 的每次部署都需要执行相同的基本步骤：

• 创建 Google Cloud 项目或使用现有项目。
• 创建新的虚拟私有云 (VPC) 网络或选择现有的 VPC 网络。
• 将您选择的 VPC 网络连接到 VMware Engine 网络。

然后，在 Compute Engine 虚拟机实例中部署 KMS：

1. 设置部署 Compute Engine 虚拟机实例所需的 IAM 权限。
2. 在 Compute Engine 中部署 KMS。
3. 在 vCenter 和 KMS 之间建立信任关系。
4. 启用 vSAN 数据加密。

以下部分简要描述了使用某个受支持的供应商的过程。

设置 IAM 权限

您需要足够的权限在给定 Google Cloud 项目和 VPC 网络中部署 Compute Engine 虚拟机实例，将您的 VPC 网络连接到 VMware Engine，并为 VPC 网络配置防火墙规则。

拥有 Network Admin 角色的项目所有者和 IAM 主账号可以创建分配的 IP 范围并管理专用连接。如需详细了解角色，请参阅 Compute Engine IAM 角色。

在 Compute Engine 中部署密钥管理系统

一些 KMS 解决方案在 Google Cloud Marketplace 中以设备类型提供。您可以通过直接在 VPC 网络或 Google Cloud 项目中导入 OVA 来部署此类设备。

对于基于软件的 KMS，请使用 KMS 供应商推荐的配置（vCPU 计数，vMem 和磁盘）部署 Compute Engine 虚拟机实例。在访客操作系统中安装 KMS 软件。在连接到 VMware Engine 网络的 VPC 网络中创建 Compute Engine 虚拟机实例。

在 vCenter 和 KMS 之间建立信任关系

在 Compute Engine 中部署 KMS 后，请配置 VMware Engine vCenter 以从 KMS 检索加密密钥。

首先将 KMS 连接详细信息添加到 vCenter。然后，在 vCenter 和 KMS 之间建立信任关系。如需在 vCenter 和 KMS 之间建立信任关系，请执行以下操作：

1. 在 vCenter 中生成证书。
2. 使用 KMS 生成的令牌或密钥对其进行签名。
3. 将该证书提供或上传到 vCenter。
4. 通过检查 vCenter 服务器配置页面中的 KMS 设置和状态确认连接状态。

启用 vSAN 数据加密

在 vCenter 中，默认的 CloudOwner 用户具有启用和管理 vSAN 数据加密所需的足够权限。

如需从外部 KMS 切换回默认的 Google 管理的密钥提供商，请按照 VMware 文档配置和管理标准密钥提供商中提供的更改密钥提供商相关步骤操作。

后续步骤

• 了解 vSAN KMS 连接健康检查。
• 了解 vSAN 7.0 加密。