Configurer le chiffrement VSAN à l'aide de HyTrust KeyControl

Pour chiffrer des données au repos avec le chiffrement VSAN, vous pouvez utiliser HyTrust KeyControl comme KMS (service de gestion des clés) externe. Pour déployer HyTrust KeyControl dans Google Cloud, suivez les étapes décrites dans ce document.

Prérequis

  • L'une des versions de vSphere suivantes compatibles avec HyTrust KeyControl :
    • vSphere 6.5, 6.6, 6.7, ou 7.0
    • vSphere Trust Authority 7.0
    • La gestion universelle des clés pour les agents de chiffrement compatibles avec le protocole KMIP
  • Autorisation Gestion de KMS pour vCenter dans votre cloud privé. Le rôle CloudOwner par défaut dans VMware Engine dispose de droits suffisants.
  • Une licence HyTrust KeyControl valide. La version déployée de KeyControl dispose d'une licence d'essai de 30 jours.

Établir une connexion privée entre votre cloud privé et votre réseau VPC

Sélectionnez un projet et un réseau de cloud privé virtuel (VPC) dans Google Cloud dans lesquels vous envisagez de déployer les nœuds HyTrust KeyControl. Configurez une connexion privée entre ce réseau VPC et votre cloud privé.

Créer une instance de VM qui deviendra le nœud KeyControl initial de votre cluster

  1. Si vous ne disposez pas déjà d'un réseau VPC que vous souhaitez utiliser pour le nœud KeyControl, créez-en un.
  2. Dans la console Google Cloud, accédez à la page Images.

    Accéder à la page Images

  3. Cliquez sur l'image HyTrust KeyControl.

  4. Cliquez sur Créer une instance.

  5. Configurez l'instance :

    • Sous Type de machine, sélectionnez n1-standard-2(2 processeurs virtuels, 7,5 Go).
    • Cochez la case Autoriser le trafic HTTPS.
    • Sous Interface réseau, sélectionnez le réseau VPC que vous souhaitez utiliser. Vous ne pourrez plus modifier ce paramètre.
    • L'adresse IP externe peut être statique ou provisoire. Pour utiliser une adresse IPstatique, choisissez une adresse IP publique créée précédemment ou choisissez Créer une adresse IP sous Adresse IP externe.
    • Sous Créer une adresse IP publique, saisissez un nom et une description pour l'adresse IP.
  6. Cliquez sur OK.

  7. Cliquez sur Créer.

Pour créer des nœuds KeyControl supplémentaires, vous pouvez utiliser les métadonnées de l'instance que vous venez de créer. Pour afficher les métadonnées d'une instance, accédez à la page Instances de VM.

Accéder à la page Instances de VM

Configurer des règles de pare-feu pour l'instance KeyControl

Avant de commencer à configurer KeyControl, assurez-vous que celui-ci accède aux ports suivants depuis votre réseau VPC ou tout autre réseau à partir duquel vous allez accéder à KeyControl.

Ports requis

Type Protocole Plage de ports
SSH (22) TCP 22
HTTPS (443) TCP 443
Règle TCP personnalisée TCP 8443
Règle UDP personnalisée UDP 123

Ports supplémentaires

Les ports suivants sont requis si vous prévoyez d'utiliser KeyControl en tant que serveur KMS ou si vous voulez utiliser la fonctionnalité d'interrogation SNMP pour KeyControl.

Type Protocole Port par défaut
KMIP TCP 5696
SNMP UDP 161

Pour apprendre à configurer le pare-feu, consultez la section Tables de pare-feu.

Configurer le premier nœud KeyControl et initialiser l'interface Web KeyControl

Vous devez configurer l'instance KeyControl via SSH avant de pouvoir utiliser l'interface Web KeyControl pour configurer et gérer votre cluster KeyControl.

La procédure suivante explique comment configurer le premier nœud KeyControl dans le cluster. Assurez-vous de disposer de l'ID d'instance de VM KeyControl et de l'adresse IP externe.

  1. Connectez-vous au compte htadmin sur votre instance de VM KeyControl.

    ssh htadmin@external-ip-address
    
  2. Lorsque vous êtes invité à saisir le mot de passe du compte "htadmin", saisissez l'ID de votre instance KeyControl.

  3. Saisissez un nouveau mot de passe pour le compte d'administration système KeyControl "htadmin", puis cliquez sur Entrée. Le mot de passe doit contenir au moins six caractères sans espaces ni caractères non-ASCII. Ce mot de passe contrôle l'accès à la console système HyTrust KeyControl permettant aux utilisateurs d'effectuer certaines tâches d'administration de KeyControl. Il ne permet pas à un utilisateur KeyControl d'accéder au système d'exploitation complet.

  4. Sur l'écran Configuration du système, sélectionnez Installer le nœud KeyControl initial, puis cliquez sur Entrée.

  5. Consultez la boîte de dialogue de confirmation. Cette boîte de dialogue fournit l'URL publique que vous pouvez utiliser avec l'interface Web KeyControl, ainsi que l'adresse IP privée que vous pouvez utiliser si vous souhaitez ajouter d'autres nœuds KeyControl à ce cluster.

  6. Appuyez sur Entrée.

  7. Pour initialiser l'interface Web KeyControl pour ce cluster, procédez comme suit :

    1. Dans un navigateur Web, accédez à https://external-ip-address, où external-ip-address correspond à l'adresse IP externe associée à l'instance KeyControl.
    2. Si vous y êtes invité, ajoutez une exception de sécurité pour l'adresse IP de KeyControl et accédez à l'interface Web de KeyControl.
    3. Sur la page de connexion HyTrust KeyControl, saisissez secroot comme nom d'utilisateur et saisissez l'ID d'instance comme mot de passe.
    4. Consultez le CLUF (contrat de licence de l'utilisateur final). Cliquez sur J'accepte pour accepter la licence.
    5. Sur la page Modifier le mot de passe, saisissez un nouveau mot de passe pour le compte "secroot", puis cliquez sur Mettre à jour le mot de passe.
    6. Sur la page Configurer les paramètres de messagerie et de serveur de messagerie, saisissez vos paramètres de messagerie. Si vous saisissez une adresse e-mail, KeyControl envoie un e-mail contenant la clé d'administration du nouveau nœud. Il envoie également des alertes système à cette adresse e-mail.

    7. Cliquez sur Continuer.

    8. Sur la page Création automatique de rapports statistiques, indiquez si vous souhaitez activer ou désactiver la création automatique de rapports statistiques. La création automatique de rapports statistiques vous permet de partager automatiquement des informations sur l'état de votre cluster KeyControl avec l'assistance HyTrust.

      Si vous activez ce service, KeyControl envoie régulièrement un lot de données chiffrées sur l'état du système et des informations de diagnostic à un serveur HyTrust sécurisé. L'assistance HyTrust peut vous contacter de manière proactive si le service de statistiques identifie des problèmes liés à l'état de votre cluster.

      Les administrateurs de sécurité KeyControl peuvent activer ou désactiver ce service à tout moment en sélectionnant Paramètres > Statistiques dans l'interface Web KeyControl. Pour en savoir plus, consultez la page Configurer la création automatique de rapports statistiques.

    9. Cliquez sur Enregistrer et continuer.

    10. Si vous utilisez Internet Explorer, importez le certificat et ajoutez l'adresse IP de KeyControl à votre liste de sites de confiance. Vérifiez que l'option Téléchargements > Téléchargement de fichiers est activée sous Options Internet > Sécurité > Niveau personnalisé.

Configurer des nœuds supplémentaires et les ajouter au cluster existant (facultatif)

Une fois le premier nœud KeyControl configuré, vous pouvez ajouter d'autres nœuds provenant d'autres zones ou régions. Toutes les informations de configuration du premier nœud de votre cluster sont copiées sur l'ensemble des nœuds que vous ajoutez à votre cluster.

Assurez-vous que vous disposez de l'ID d'instance de votre instance de VM KeyControl, de l'adresse IP externe associée à cette instance de VM et de l'adresse IP privée de l'un des nœuds KeyControl existants de votre cluster.

  1. Connectez-vous au compte htadmin sur votre instance de VM KeyControl.

      ssh htadmin@external-ip-address
      

  2. Lorsque vous êtes invité à saisir le mot de passe de "htadmin", saisissez l'ID de l'instance KeyControl que vous configurez.

  3. Saisissez un nouveau mot de passe pour le compte d'administration système KeyControl htadmin, puis cliquez sur Entrée. Le mot de passe doit contenir au moins six caractères sans espaces ni caractères non-ASCII.

  4. Ce mot de passe contrôle l'accès à la console système HyTrust KeyControl permettant aux utilisateurs d'effectuer certaines tâches d'administration de KeyControl. Elle ne permet pas à un utilisateur KeyControl d'accéder au système d'exploitation complet.

  5. Sur l'écran Configuration du système, sélectionnez Ajouter un nœud KeyControl à un cluster existant et cliquez sur Entrée.

  6. Saisissez l'adresse IP interne de n'importe quel nœud KeyControl figurant déjà dans le cluster, puis cliquez sur Entrée. KeyControl démarre le processus de configuration initiale du nœud.

  7. Pour trouver l'adresse IP interne du nœud existant, connectez-vous à l'interface Web de KeyControl, puis cliquez sur Cluster dans la barre de menu supérieure. Accédez à l'onglet Serveurs et notez l'adresse IP figurant dans le tableau.

  8. Si ce nœud faisait auparavant partie du cluster sélectionné, KeyControl affiche une invite vous demandant si vous souhaitez effacer les données existantes et rejoindre le cluster. Sélectionnez Oui, puis cliquez sur Entrée.

  9. Si ce nœud était membre d'un autre cluster ou était à l'origine configuré en tant que seul nœud du cluster, KeyControl vous avertit que toutes les données seront détruites sur le nœud actuel si vous continuez. Sélectionnez Oui et cliquez sur Entrée, puis à nouveau sur Entrée pour confirmer l'action à l'invite suivante.

  10. Si vous y êtes invité, saisissez un mot de passe à usage unique pour ce nœud KeyControl, puis cliquez sur Entrée. Le mot de passe doit contenir au moins 16 caractères alphanumériques. Il ne peut pas contenir d'espaces ni de caractères spéciaux. Ce mot de passe est une chaîne temporaire permettant de chiffrer la communication initiale entre ce nœud et le cluster KeyControl existant. Lorsque vous authentifiez le nouveau nœud avec le cluster existant, vous saisissez cette phrase secrète dans l'interface Web de KeyControl, de sorte que le nœud existant puisse déchiffrer la communication et vérifier que la requête de jointure est valide.

  11. Si l'assistant peut se connecter au nœud KeyControl désigné, l'écran Authentification s'affiche pour vous indiquer que le nœud fait maintenant partie du cluster, mais doit être authentifié dans l'interface Web de KeyControl avant de pouvoir être utilisé par le système.

  12. Authentifiez le nœud dans l'interface Web de KeyControl. Lorsque l'écran Rejoindre le cluster KeyControl affiche un message indiquant qu'un administrateur de domaine a besoin d'authentifier le nouveau nœud, connectez-vous à l'interface Web de KeyControl sur ce nœud et authentifiez le nouveau serveur. Une fois le nœud authentifié, KeyControl poursuit le processus de configuration.

  13. Appuyez sur Entrée.

Authentifier vos nouveaux nœuds KeyControl

Lorsque vous ajoutez un nouveau nœud KeyControl à un cluster existant, vous devez authentifier le nouveau nœud à partir de l'interface Web KeyControl du nœud spécifié dans la console système du nœud qui effectue la jointure. Par exemple, si vous avez trois nœuds et que vous joignez un quatrième nœud en spécifiant le nœud 2, vous devez authentifier le nouveau nœud à partir de l'interface Web du nœud 2. Si vous tentez de vous authentifier à partir d'un autre nœud, le processus échoue.

  1. Connectez-vous à l'interface Web KeyControl à l'aide d'un compte doté des droits d'administrateur de domaine.
  2. Dans la barre de menu, cliquez sur Cluster.
  3. Cliquez sur l'onglet Serveurs.
  4. Sélectionnez le nœud que vous souhaitez authentifier. La colonne État indique Jointure en attente pour tous les nœuds qui n'ont pas encore été authentifiés.
  5. Cliquez sur Actions > Authentification.
  6. Saisissez le mot de passe à usage unique, puis cliquez sur Authentifier. Cette phrase secrète doit correspondre exactement à la phrase secrète que vous avez spécifiée lors de l'installation du nœud KeyControl. La phrase secrète est sensible à la casse.
  7. Cliquez sur Actualiser et assurez-vous que l'état est En ligne.
  8. Si vous souhaitez suivre la progression du processus d'authentification, connectez-vous à la console de VM KeyControl sur le nœud que vous authentifiez en tant que htadmin.

Configurer des règles de pare-feu entre votre cloud privé et votre VPC KeyControl

vCenter communique avec HyTrust KeyControl via le protocole KMIP sur le port KMIP. Par défaut, ce port est TCP 5696. Ce port est configurable à partir de l'interface Web de KeyControl.

  1. Dans la console Google Cloud, cliquez sur Réseau VPC > Pare-feu.
  2. Cliquez sur Créer une règle de pare-feu.
  3. Saisissez les paramètres de la règle de pare-feu. Autorisez l'adresse IP de vCenter à communiquer avec KeyControl sur le port KMIP.

Configurer vCenter pour utiliser HyTrust KeyControl comme service de gestion des clés externe

  1. Configurez le serveur KMS
  2. Créez un cluster KMS dans vCenter
  3. Établissez une connexion de confiance entre vCenter et KeyControl à l'aide d'une requête de signature de certificat générée par vCenter