使用 Fortanix KMS 設定 vSAN 加密

如要使用 vSAN 加密加密靜態資料,可以使用 Fortanix Key Management Service (KMS)。

事前準備

  • 建立 Google Cloud 專案或使用現有專案。
  • 確認您至少有三個 n1-standard-4 以上版本的虛擬機器 (VM) 執行個體。

在 Google Cloud上部署 Fortanix KMS

建立虛擬私人雲端網路

基於安全性考量,請建立新的虛擬私有雲 (VPC) 網路。您可以新增防火牆規則或使用其他存取權控管方法,藉此控管具有存取權的對象。如果您的專案具有預設的虛擬私有雲網路,請勿使用。請改為使用不同的子網路 IP 範圍建立您自己專屬的虛擬私有雲網路,確保系統只套用您明確建立的防火牆規則。

建立 VM 執行個體範本

  1. 請按照「建立執行個體範本」一節的步驟建立新的執行個體範本。
  2. 在「機器類型」下方,選取 n1-standard-4 (4 個 vCPU,15 GB 記憶體) 以上。
    1. 在「Boot disk」欄位中,選取「Ubuntu 16.04 LTS + 200GB SSD」

建立代管執行個體群組

按照「建立代管執行個體群組」一節中的步驟,建立使用您在上一個步驟中建立的執行個體範本的代管執行個體群組。

  • 停用自動調度資源
  • 在「Number of instances」(執行個體數) 下方,輸入所需的 Fortanix KMS 叢集節點數量。

建立健康狀態檢查

在「Create a health check」頁面中,檢查 443 號通訊端口。按一下「建立」,建立健康狀態檢查。

建立內部 TCP 負載平衡器

  1. 在「Create a load balancer」(建立負載平衡器) 頁面的「Internal facing or internal only」(僅限內部) 欄位下方,選取「Only between my VMs」(僅在我的 VM 之間)
  2. 按一下「Continue」,建立新的內部負載平衡器。
  3. 選取左側面板中的「後端設定」
    1. 選取您建立的新 VPC 網路。
    2. 選取您建立的代管執行個體群組。
  4. 在左側窗格中,選取「前端設定」
    1. 選取您建立的新 VPC 網路。
    2. 在「Internal IP」下方,預約內部 IP 位址。
    3. 在「Port number」(通訊埠編號) 下方,公開 443、4445 和 5696 通訊埠。

建立外部負載平衡器

  1. 在「Create a load balancer」(建立負載平衡器) 頁面上,在「Internal facing or internal only」(僅限內部或僅限內部) 下方,選取「From internet to my VMs」(從網際網路到我的 VM)
  2. 按一下「繼續」
  3. 在左側面板中,選取「後端設定」
    1. 選取「區域」
    2. 選取您建立的代管執行個體群組。
    3. 選取您建立的健康狀態檢查。
  4. 在左側窗格中,選取「前端設定」
    1. 選取您建立的 VPC 網路。
    2. 在「IP」欄位中保留公用 IP 位址。
    3. 在「Port number」(通訊埠編號) 下方,公開 443、4445 和 5696 通訊埠。

新增防火牆規則

根據預設,「默示的拒絕輸入」虛擬私有雲網路防火牆規則會封鎖未經授權的輸入連線,以防範虛擬私有雲網路中的 VM。

如要允許連入的連線,請為 VM 設定防火牆規則。與 VM 建立連入連線後,系統會允許該連線上雙向的流量。

您可以建立防火牆規則,允許外部存取指定的通訊埠,或限制相同網路上 VM 之間的存取。

新增防火牆規則,允許通訊埠 443、4445 和 5696。選取您建立的 VPC 網路,並根據安全性需求限制來源 IP。

建立 DNS

您可以使用 Cloud DNS 為內部和外部負載平衡器建立 DNS。在本頁中,sdkms.vpc.gcloud 是可透過虛擬私有雲網路存取的 Fortanix KMS 端點,sdkms.external.gcloud 則是可透過網際網路存取的端點。

下載並安裝 Fortanix KMS

在每個 VM 執行個體上安裝 Fortanix KMS 軟體。如需操作說明,請參閱 Fortanix Self-Defending KMS 安裝指南。如需與 Google Cloud相容的安裝套件,請洽詢 Fortanix 支援團隊。

設定 UI/KMIP 存取權

您可以使用 sdkms.external.gcloud 指令存取 UI。您可以使用 sdkms.vpc.gcloud 存取 VMware 的金鑰管理互通性通訊協定 (KMIP)。

設定私人服務存取權

設定 VMware Engine 的私人服務存取權,並將虛擬私有雲網路連結至私有雲。如需操作說明,請參閱「設定私人服務存取權」。

在 vCenter 和 Fortanix KMS 之間建立信任關係

  1. 在 Fortanix KMS 中設定新的應用程式。
  2. 在「Applications」頁面中,按一下您剛建立的應用程式旁的「View credentials」。接著,選取「使用者名稱/密碼」分頁標籤,並記下使用者名稱和密碼,以便在 vCenter 中設定 KMS。
  3. 在 vCenter 的「Key Management Servers」下方,設定內部 IP 位址 sdkms.vpc.gcloud
  4. 讓 vCenter 信任 Fortanix KMS:
    1. 在 vCenter 的「Configure」分頁中,按一下所列的 Fortanix KMS。
    2. 依序按一下「建立信任關係」和「讓 vCenter 信任 KMS」
    3. 按一下「信任」
  5. 讓 Fortanix KMS 信任 vCenter:
    1. 依序點選「建立信任關係」和「讓 KMS 信任 vCenter」
    2. 在「Choose a method」(選擇方法) 下方,點選「vCenter 憑證」
    3. 在「下載 vCenter 憑證」下方,依序點選「下載」和「完成」
  6. 啟用 vSAN 加密功能。
    1. 在 vSphere 用戶端中,依序前往「Cluster」(叢集) >「vSAN」>「Services」(服務)
    2. 啟用 vSAN 加密功能。

Fortanix KMS 可搭配 vSAN 加密和 vCenter VM 加密功能使用。防竄改稽核記錄會擷取應用程式執行的所有加密作業。針對 vSAN 加密,系統會使用 KMIP 通訊協定,在 Fortanix KMS 中建立新的安全金鑰。