Mengonfigurasi enkripsi vSAN menggunakan HyTrust KeyControl

Salah satu opsi untuk mengenkripsi data dalam penyimpanan menggunakan enkripsi vSAN adalah menggunakan HyTrust KeyControl sebagai key management service (KMS) eksternal. Untuk men-deploy HyTrust KeyControl di Google Cloud, gunakan langkah-langkah dalam dokumen ini.

Prasyarat

  • Salah satu versi vSphere berikut yang didukung oleh HyTrust KeyControl:
    • vSphere 6.5, 6.6, 6.7, atau 7.0
    • vSphere Trust Authority 7.0
    • Pengelolaan kunci universal untuk agen enkripsi yang kompatibel dengan KMIP
  • Izin Kelola KMS untuk vCenter di cloud pribadi Anda. Peran CloudOwner default di VMware Engine memiliki hak istimewa yang memadai.
  • Lisensi yang valid untuk HyTrust KeyControl. KeyControl yang di-deploy memiliki lisensi uji coba 30 hari.

Membuat koneksi pribadi antara cloud pribadi dan jaringan VPC Anda

Identifikasi project dan jaringan Virtual Private Cloud (VPC) di Google Cloud tempat Anda berencana men-deploy node HyTrust KeyControl. Konfigurasikan koneksi pribadi antara jaringan VPC tersebut dan cloud pribadi Anda.

Buat instance VM yang akan menjadi node KeyControl awal di cluster Anda

  1. Jika Anda belum memiliki jaringan VPC yang ingin digunakan untuk node KeyControl, buat jaringan VPC baru.
  2. Di Konsol Google Cloud, buka halaman Images.

    Membuka halaman Images

  3. Klik gambar HyTrust KeyControl.

  4. Klik Create instance.

  5. Konfigurasikan instance:

    • Di bagian Machine type, pilih n1-standard-2(2 vCPU, 7.5 GB).
    • Centang Izinkan traffic HTTPS.
    • Di bagian Network interface, pilih jaringan VPC yang ingin Anda gunakan. Anda tidak dapat mengubahnya setelah ini.
    • Alamat IP eksternal mungkin bersifat statis atau sementara. Untuk menggunakan alamat IP statis, pilih IP publik yang dibuat sebelumnya atau pilih Create IP address di bagian External IP.
    • Di bagian Create public IP address, masukkan nama dan deskripsi untuk alamat IP.
  6. Klik OK.

  7. Klik Create.

Untuk membuat node KeyControl tambahan, Anda dapat menggunakan metadata dari instance yang baru saja dibuat. Untuk melihat metadata instance, buka halaman Instance VM.

Buka halaman VM Instances

Mengonfigurasi aturan firewall untuk instance KeyControl

Sebelum mulai mengonfigurasi KeyControl, pastikan port berikut terbuka untuk KeyControl dari jaringan VPC Anda atau dari jaringan lain tempat Anda ingin mengakses KeyControl.

Port yang diperlukan

Jenis Protocol Rentang port
SSH (22) TCP 22
HTTPS (443) TCP 443
Aturan TCP Khusus TCP 8443
Aturan UDP Kustom UDP 123

Port tambahan

Port berikut diperlukan jika Anda berencana menggunakan KeyControl sebagai server KMIP atau jika ingin menggunakan fitur polling SNMP untuk KeyControl.

Jenis Protocol Port default
KMIP TCP 5696
kamera SNMP UDP 161

Untuk mempelajari cara menyiapkan firewall, lihat Tabel firewall.

Mengonfigurasi node KeyControl pertama dan melakukan inisialisasi antarmuka web KeyControl

Anda perlu mengonfigurasi instance KeyControl menggunakan SSH sebelum dapat menggunakan antarmuka web KeyControl untuk mengonfigurasi dan memelihara cluster KeyControl Anda.

Prosedur berikut menjelaskan cara mengonfigurasi node KeyControl pertama di cluster. Pastikan Anda memiliki ID instance VM KeyControl dan alamat IP eksternal.

  1. Login ke akun htadmin pada instance VM KeyControl Anda.

    ssh htadmin@external-ip-address
    
  2. Saat diminta memasukkan sandi htadmin, masukkan ID instance untuk instance KeyControl Anda.

  3. Masukkan sandi baru untuk htadmin akun administrasi sistem KeyControl, lalu klik Enter. Sandi harus berisi minimal 6 karakter dan tidak boleh berisi spasi atau karakter non-ASCII. Sandi ini mengontrol akses ke Konsol Sistem HyTrust KeyControl yang memungkinkan pengguna melakukan beberapa tugas administrasi KeyControl. Sistem ini tidak mengizinkan pengguna {i>KeyControl<i} untuk mengakses sistem operasi secara penuh.

  4. Di layar System configuration, pilih Install Initial KeyControl Node lalu klik Enter.

  5. Tinjau dialog konfirmasi. Dialog ini memberikan URL publik yang dapat Anda gunakan dengan antarmuka web KeyControl dan alamat IP pribadi yang dapat Anda gunakan jika ingin menambahkan node KeyControl lain ke cluster ini.

  6. Klik Enter.

  7. Untuk menginisialisasi antarmuka web KeyControl untuk cluster ini:

    1. Di browser web, buka https://external-ip-address, dengan external-ip-address adalah alamat IP eksternal yang terkait dengan instance KeyControl.
    2. Jika diminta, tambahkan pengecualian keamanan untuk alamat IP KeyControl dan lanjutkan ke antarmuka web KeyControl.
    3. Pada halaman login HyTrust KeyControl, masukkan secroot untuk nama pengguna dan masukkan ID instance untuk sandi.
    4. Tinjau PLPA (perjanjian lisensi pengguna akhir). Klik Saya Setuju untuk menyetujui persyaratan lisensi.
    5. Di halaman Ubah Sandi, masukkan sandi baru untuk akun secroot dan klik Update Sandi.
    6. Di halaman Configure E-Mail and Mail Server Settings, masukkan setelan email Anda. Jika Anda memasukkan alamat email, KeyControl akan mengirim email yang berisi kunci admin untuk node baru. Tag Assistant juga mengirimkan peringatan sistem ke alamat email ini.

    7. Klik Lanjutkan.

    8. Di halaman Pelaporan Vitals Otomatis, tentukan apakah Anda ingin mengaktifkan atau menonaktifkan pelaporan data vital otomatis. Pelaporan data vital otomatis memungkinkan Anda otomatis membagikan informasi tentang kondisi cluster KeyControl dengan Dukungan HyTrust.

      Jika Anda mengaktifkan layanan ini, KeyControl akan secara berkala mengirimkan paket terenkripsi yang berisi status sistem dan informasi diagnostik ke server HyTrust yang aman. Dukungan HyTrust mungkin menghubungi Anda secara proaktif jika Layanan Vitals mengidentifikasi masalah terkait kondisi cluster Anda.

      KeyControl Security Admins dapat mengaktifkan atau menonaktifkan layanan ini kapan saja dengan memilih Settings > Vitals di antarmuka web KeyControl. Untuk mengetahui detailnya, lihat Mengonfigurasi Pelaporan Vitals Otomatis.

    9. Klik Simpan & lanjutkan.

    10. Jika Anda menggunakan Internet Explorer, impor sertifikat dan tambahkan alamat IP KeyControl ke daftar situs tepercaya. Pastikan opsi Downloads > File download diaktifkan di Internet Options > Security > Custom Level.

Mengonfigurasi node tambahan dan menambahkannya ke cluster yang ada (opsional)

Setelah node KeyControl pertama dikonfigurasi, Anda dapat menambahkan node lain dari zona atau region lain. Semua informasi konfigurasi dari node pertama dalam cluster Anda disalin ke node mana pun yang Anda tambahkan ke cluster.

Pastikan Anda memiliki ID instance untuk instance VM KeyControl, alamat IP eksternal yang terkait dengan instance VM tersebut, dan alamat IP pribadi salah satu node KeyControl yang ada di cluster Anda.

  1. Login ke akun htadmin pada instance VM KeyControl Anda.

      ssh htadmin@external-ip-address
      

  2. Saat diminta memasukkan sandi htadmin, masukkan ID instance untuk instance KeyControl yang Anda konfigurasi.

  3. Masukkan sandi baru untuk htadmin akun administrasi sistem KeyControl, lalu klik Enter. Sandi harus berisi minimal 6 karakter dan tidak boleh berisi spasi atau karakter non-ASCII.

  4. Sandi ini mengontrol akses ke Konsol Sistem HyTrust KeyControl yang memungkinkan pengguna melakukan beberapa tugas administrasi KeyControl. Tindakan ini tidak mengizinkan pengguna KeyControl mengakses sistem operasi sepenuhnya.

  5. Di layar System configuration, pilih Add KeyControl node to existing cluster, lalu klik Enter.

  6. Ketik alamat IP internal node KeyControl yang sudah ada di cluster, lalu klik Enter. KeyControl memulai proses konfigurasi awal untuk node.

  7. Untuk menemukan alamat IP internal node yang ada, login ke antarmuka web KeyControl, lalu klik Cluster di panel menu atas. Buka tab Servers, lalu lihat alamat IP di tabel.

  8. Jika node ini sebelumnya adalah bagian dari cluster yang dipilih, KeyControl akan menampilkan perintah yang menanyakan apakah Anda ingin menghapus data yang ada dan bergabung kembali dengan cluster. Pilih Yes, lalu klik Enter.

  9. Jika node ini adalah anggota cluster yang berbeda, atau awalnya dikonfigurasi sebagai satu-satunya node dalam cluster, KeyControl akan memberi tahu Anda bahwa semua data akan dihancurkan pada node saat ini jika Anda melanjutkan. Pilih Yes dan klik Enter, lalu klik Enter lagi untuk mengonfirmasi tindakan pada perintah berikutnya.

  10. Jika diminta, masukkan sandi sekali pakai untuk node KeyControl ini, lalu klik Enter. Sandi minimal harus 16 karakter alfanumerik. Kolom ini tidak boleh berisi spasi atau karakter khusus. Sandi ini adalah string sementara yang digunakan untuk mengenkripsi komunikasi awal antara node ini dan cluster KeyControl yang ada. Saat mengautentikasi node baru dengan cluster yang ada, masukkan frasa sandi ini di antarmuka web KeyControl sehingga node yang ada dapat mendekripsi komunikasi dan memverifikasi bahwa permintaan bergabung valid.

  11. Jika dapat terhubung ke node KeyControl yang ditetapkan, wizard akan menampilkan layar Authentication yang menginformasikan bahwa node tersebut sekarang menjadi bagian dari cluster, tetapi harus diautentikasi dalam antarmuka web KeyControl sebelum dapat digunakan oleh sistem.

  12. Autentikasi node di antarmuka web KeyControl. Saat layar Joining KeyControl Cluster menampilkan pesan bahwa administrator domain perlu mengautentikasi node baru, login ke antarmuka web KeyControl pada node tersebut dan autentikasi server baru. Setelah node diautentikasi, KeyControl akan melanjutkan proses penyiapan.

  13. Klik Enter.

Mengautentikasi node KeyControl baru

Saat menambahkan node KeyControl baru ke cluster yang ada, Anda harus mengautentikasi node baru dari antarmuka web KeyControl node yang ditentukan di konsol sistem node yang bergabung. Misalnya, jika Anda memiliki tiga node, dan menggabungkan node keempat dengan menentukan node dua, Anda harus mengautentikasi node baru dari antarmuka web untuk node dua. Jika Anda mencoba mengautentikasi dari {i>node<i} yang berbeda, prosesnya akan gagal.

  1. Login ke antarmuka web KeyControl menggunakan akun dengan hak istimewa Admin Domain.
  2. Pada panel menu, klik Cluster.
  3. Klik tab Servers.
  4. Pilih node yang ingin Anda autentikasi. Kolom Status menampilkan Join Pending untuk semua node yang belum diautentikasi.
  5. Klik Tindakan > Autentikasi.
  6. Masukkan sandi sekali pakai, lalu klik Autentikasi. Frasa sandi ini harus sama persis dengan frasa sandi yang Anda tentukan saat menginstal node KeyControl. Frasa sandi peka huruf besar/kecil.
  7. Klik Refresh dan pastikan statusnya Online.
  8. Jika Anda ingin melacak progres proses autentikasi, login ke konsol VM KeyControl pada node yang Anda autentikasi sebagai htadmin.

Mengonfigurasi aturan firewall antara cloud pribadi Anda dan VPC KeyControl

vCenter berkomunikasi dengan HyTrust KeyControl melalui protokol KMIP di Port KMIP. Defaultnya adalah TCP 5696. Port ini dapat dikonfigurasi dari antarmuka web KeyControl.

  1. Di Konsol Google Cloud, klik VPC network > Firewall.
  2. Klik Create firewall rule.
  3. Masukkan detail aturan firewall. Memungkinkan alamat IP vCenter berkomunikasi dengan KeyControl pada port KMIP.

Mengonfigurasi vCenter untuk menggunakan HyTrust KeyControl sebagai KMS eksternal

  1. Mengonfigurasi server KMIP
  2. Membuat cluster KMS di vCenter
  3. Membuat koneksi tepercaya antara vCenter dan KeyControl menggunakan CSR yang dihasilkan vCenter