CloudSimple プライベート クラウドの vSAN 暗号化を構成する

CloudSimple プライベート クラウドが Azure 仮想ネットワークで実行されているキー管理サーバーと連携できるように、vSAN ソフトウェア暗号化機能を構成できます。

VMware では、vSAN 暗号化を使用する場合、外部 KMIP 1.1 準拠のサード パーティ製キー管理サーバー (KMS) ツールを使用する必要があります。 VMware によって認定され、Azure で利用できる、サポートされている KMS を利用できます。

このガイドでは、Azure 仮想ネットワークで実行されている HyTrust KeyControl KMS を使用する方法について説明します。 同様の方法は、vSAN 用の他の認定サードパーティ KMS ソリューションにも使用できます。

この KMS ソリューションでは、次の作業を行う必要があります。

  • VMware 認定のサードパーティ KMS ツールを Azure 仮想ネットワークにインストール、構成、管理します。
  • KMS ツールのライセンスを独自に指定します。
  • Azure 仮想ネットワークで実行されているサードパーティの KMS ツールを使用して、プライベート クラウドで vSAN 暗号化を構成および管理します。

KMS デプロイ シナリオ

KMS サーバー クラスターは Azure 仮想ネットワークで実行され、構成された Azure ExpressRoute 接続経由でプライベート クラウド vCenter から IP に到達できます。

..Azure 仮想ネットワーク内の /media/KMS クラスター

ソリューションをデプロイする方法

デプロイ プロセスには、次の手順があります。

  1. 前提条件が満たされていることを確認する
  2. CloudSimple ポータル: ExpressRoute ピアリング情報を取得する
  3. Azure ポータル: 仮想ネットワークをプライベート クラウドに接続する
  4. Azure portal: 仮想ネットワークに HyTrust KeyControl クラスターをデプロイする
  5. HyTrust WebUI: KMIP サーバーを構成する
  6. vCenter UI: Azure 仮想ネットワークで KMS クラスターを使用するように vSAN 暗号化を構成する

前提条件が満たされていることを確認する

デプロイの前に、次のことを確認します。

  • 選択した KMS ベンダー、ツール、およびバージョンが vSAN 互換性リストに表示されます。
  • 選択したベンダーは、Azure で実行するツールのバージョンをサポートしています。
  • AZURE バージョンの KMS ツールは KMIP 1.1 に準拠しています。
  • Azure Resource Manager と仮想ネットワークは既に作成されています。
  • CloudSimple プライベート クラウドは既に作成されています。

CloudSimple ポータル: ExpressRoute ピアリング情報を取得する

セットアップを続行するには、ExpressRoute の承認キーとピア回線 URI と、Azure サブスクリプションへのアクセスが必要です。 この情報は、CloudSimple ポータルの [仮想ネットワーク接続] ページで確認できます。 手順については、「 プライベート クラウドへの仮想ネットワーク接続を設定する」を参照してください。 情報の取得に問題がある場合は、 サポート リクエストを開きます。

Azure portal: 仮想ネットワークをプライベート クラウドに接続する

  1. Azure portal を使用した ExpressRoute 用の仮想ネットワーク ゲートウェイの構成に関するページの手順に従って 、仮想ネットワークの仮想ネットワーク ゲートウェイを作成します
  2. ポータルを使用して仮想ネットワークを ExpressRoute 回線に接続する方法に関するページの手順に従って、 仮想ネットワークを CloudSimple ExpressRoute 回線にリンクします
  3. CloudSimple からウェルカム メールで受信した CloudSimple ExpressRoute 回線情報を使用して、仮想ネットワークを Azure の CloudSimple ExpressRoute 回線にリンクします。
  4. 承認キーとピア回線 URI を入力し、接続に名前を付けて、[ OK] をクリックします。

仮想ネットワークの作成時に CS ピア回線 URI を指定する

Azure portal: 仮想ネットワークの Azure Resource Manager に HyTrust KeyControl クラスターをデプロイする

仮想ネットワークの Azure Resource Manager に HyTrust KeyControl クラスターをデプロイするには、次のタスクを実行します。 詳細については、 HyTrust のドキュメント を参照してください。

  1. HyTrust ドキュメントの手順に従って、指定された受信規則を使用して Azure ネットワーク セキュリティ グループ (nsg-hytrust) を作成します。
  2. Azure で SSH キー ペアを生成します。
  3. Azure Marketplace のイメージから初期 KeyControl ノードをデプロイします。 生成されたキー ペアの公開キーを使用し、KeyControl ノードのネットワーク セキュリティ グループとして nsg-hytrust を選択します。
  4. KeyControl のプライベート IP アドレスを静的 IP アドレスに変換します。
  5. 公開 IP アドレスと前述のキー ペアの秘密キーを使用して、KeyControl VM に SSH 接続します。
  6. SSH シェルでメッセージが表示されたら、 No を選択して、ノードを初期 KeyControl ノードとして設定します。
  7. この手順の手順 3 から 5 を繰り返し、既存のクラスターへの追加を求められたら Yes を選択して、KeyControl ノードを追加します。

HyTrust WebUI: KMIP サーバーを構成する

https:// public-ip に移動します。 public-ip は KeyControl ノード VM のパブリック IP アドレスです。 HyTrust ドキュメントの次の手順に従います。

  1. KMIP サーバーの構成
  2. VMware Encryption 用の証明書バンドルの作成

vCenter UI: Azure 仮想ネットワークで KMS クラスターを使用するように vSAN 暗号化を構成する

HyTrust の指示に従って 、vCenter に KMS クラスターを作成します

vCenter で KMS クラスターの詳細を追加する

vCenter で、[ クラスター > 構成] に移動し、vSAN の [全般] オプションを選択します。 暗号化を有効にし、以前に vCenter に追加された KMS クラスターを選択します。

vCenter で vSAN 暗号化を有効にして KMS クラスターを構成する

リファレンス

紺碧

Azure portal を使用して ExpressRoute 用の仮想ネットワーク ゲートウェイを構成する

ポータルを使用して仮想ネットワークを ExpressRoute 回線に接続する

HyTrust

HyTrust DataControl と Microsoft Azure

KMPI サーバーの構成

VMware Encryption 用の証明書バンドルの作成

vSphere での KMS クラスターの作成

  • Last updated on