Nota:
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
Puede configurar la característica de cifrado de software vSAN para que la nube privada de CloudSimple pueda trabajar con un servidor de administración de claves que se ejecuta en la red virtual de Azure.
VMware requiere el uso de una herramienta de servidor de administración de claves (KMS) compatible con KMIP 1.1 externa al usar el cifrado vSAN. Puede aprovechar cualquier KMS compatible certificado por VMware y que esté disponible para Azure.
En esta guía se describe cómo usar KMS de HyTrust KeyControl que se ejecuta en una red virtual de Azure. Se puede usar un enfoque similar para cualquier otra solución de KMS de terceros certificada para vSAN.
Esta solución de KMS requiere que:
- Instale, configure y administre una herramienta de KMS de terceros certificada por VMware en la red virtual de Azure.
- Proporcione sus propias licencias para la herramienta KMS.
- Configure y administre el cifrado de vSAN en la nube privada mediante la herramienta KMS de terceros que se ejecuta en la red virtual de Azure.
Escenario de implementación de KMS
El clúster del servidor KMS se ejecuta en la red virtual de Azure y es accesible desde vCenter de nube privada a través de la conexión de Azure ExpressRoute configurada.
Implementación de la solución
El proceso de implementación tiene los pasos siguientes:
- Comprobación de que se cumplen los requisitos previos
- Portal de CloudSimple: obtención de información de emparejamiento de ExpressRoute
- Azure Portal: Conexión de la red virtual a la nube privada
- Azure Portal: Implementación de un clúster de HyTrust KeyControl en la red virtual
- HyTrust WebUI: Configurar el servidor KMIP
- Interfaz de usuario de vCenter: configuración del cifrado de vSAN para usar el clúster de KMS en la red virtual de Azure
Comprobación de que se cumplen los requisitos previos
Compruebe lo siguiente antes de la implementación:
- El proveedor, la herramienta y la versión de KMS seleccionados se encuentran en la lista de compatibilidad de vSAN.
- El proveedor seleccionado admite una versión de la herramienta que se va a ejecutar en Azure.
- La versión de Azure de la herramienta KMS es compatible con KMIP 1.1.
- Ya se ha creado una instancia de Azure Resource Manager y una red virtual.
- Ya se ha creado una nube privada de CloudSimple.
Portal de CloudSimple: Obtener información sobre el emparejamiento de ExpressRoute
Para continuar con la configuración, necesita la clave de autorización y el URI del circuito de emparejamiento para ExpressRoute, además del acceso a su suscripción de Azure. Esta información está disponible en la página Conexión de red virtual en el portal de CloudSimple. Para obtener instrucciones, consulte Configuración de una conexión de red virtual a la nube privada. Si tiene algún problema para obtener la información, abra una solicitud de soporte técnico.
Azure Portal: Conexión de la red virtual a la nube privada
- Cree una puerta de enlace de red virtual para la red virtual siguiendo las instrucciones de Configuración de una puerta de enlace de red virtual para ExpressRoute mediante Azure Portal.
- Vincule la red virtual al circuito ExpressRoute de CloudSimple siguiendo las instrucciones de Conexión de una red virtual a un circuito ExpressRoute mediante el portal.
- Use la información del circuito ExpressRoute de CloudSimple recibida en el correo electrónico de bienvenida de CloudSimple para vincular la red virtual al circuito ExpressRoute de CloudSimple en Azure.
- Escriba la clave de autorización y el URI del circuito del mismo nivel, asigne un nombre a la conexión y haga clic en Aceptar.
Azure Portal: Implementación de un clúster de HyTrust KeyControl en Azure Resource Manager en la red virtual
Para implementar un clúster de HyTrust KeyControl en Azure Resource Manager en la red virtual, realice las siguientes tareas. Consulte la documentación de HyTrust para obtener más información.
- Cree un grupo de seguridad de red de Azure (nsg-hytrust) con reglas de entrada especificadas siguiendo las instrucciones de la documentación de HyTrust.
- Genere un par de claves SSH en Azure.
- Implemente el nodo KeyControl inicial desde la imagen en Azure Marketplace. Use la clave pública del par de claves que se generó y seleccione nsg-hytrust como grupo de seguridad de red para el nodo KeyControl.
- Convierta la dirección IP privada de KeyControl en una dirección IP estática.
- SSH a la máquina virtual keyControl mediante su dirección IP pública y la clave privada del par de claves mencionado anteriormente.
- Cuando se le solicite en el shell SSH, seleccione
Nopara establecer el nodo como KeyControl inicial. - Agregue nodos KeyControl adicionales repitiendo los pasos 3-5 de este procedimiento y seleccionando
Yescuando se le pida que agregue a un clúster existente.
HyTrust WebUI: Configurar el servidor KMIP
Vaya a https:// public-ip, donde public-ip es la dirección IP pública de la máquina virtual del nodo KeyControl. Siga estos pasos en la documentación de HyTrust.
Interfaz de usuario de vCenter: configuración del cifrado de vSAN para usar el clúster de KMS en la red virtual de Azure
Siga las instrucciones de HyTrust para crear un clúster de KMS en vCenter.
En vCenter, vaya a Configuración del clúster > y seleccione la opción General para vSAN. Habilite el cifrado y seleccione el clúster de KMS que se agregó anteriormente a vCenter.
Referencias
Azur
Configuración de una puerta de enlace de red virtual para ExpressRoute mediante Azure Portal
Conexión de una red virtual a un circuito ExpressRoute mediante el portal
HyTrust
HyTrust DataControl y Microsoft Azure
Configuración de un servidor KMPI
Creación de un conjunto de certificados para VMware Encryption