使用 HyTrust KeyControl 設定 vSAN 加密

使用 vSAN 加密加密靜態資料的其中一個選項,是將 HyTrust KeyControl 用作外部金鑰管理服務 (KMS)。如要在 Google Cloud中部署 HyTrust KeyControl,請按照本文中的步驟操作。

事前準備

  • HyTrust KeyControl 支援下列其中一個 vSphere 版本:
    • vSphere 6.5、6.6、6.7 或 7.0
    • vSphere Trust Authority 7.0
    • 適用於 KMIP 相容加密代理程式的通用金鑰管理
  • 在私有雲中,您必須具備 vCenter 的 Manage KMS 權限。VMware Engine 中的預設 CloudOwner 角色具有足夠的權限。
  • 有效的 HyTrust KeyControl 授權。部署的 KeyControl 有 30 天的試用授權。

在私有雲和虛擬私有雲網路之間建立私人連線

在 Google Cloud中找出您打算部署 HyTrust KeyControl 節點的專案和虛擬私有雲 (VPC) 網路。在該虛擬私有雲網路和私有雲之間設定私人連線

建立 VM 執行個體,以便成為叢集中的初始 KeyControl 節點

  1. 如果您沒有要用於 KeyControl 節點的現有 VPC 網路,請建立新的 VPC 網路。

  2. 前往 Google Cloud 控制台的「Images」頁面。

    前往「Images」(映像檔) 頁面

  3. 按一下 HyTrust KeyControl 圖片。

  4. 點選「建立執行個體」

  5. 設定執行個體:

    • 在「機器類型」下方,選取「n1-standard-2(2 個 vCPU,7.5 GB)」
    • 勾選「允許 HTTPS 流量」
    • 在「Network interface」(網路介面) 下方,選擇要使用的 VPC 網路。選定後即無法變更。
    • 外部 IP 位址可以是靜態或臨時。如要使用靜態 IP 位址,請選擇先前建立的任何公開 IP 位址,或在「External IP」下方選擇「Create IP address」
    • 在「建立公開 IP 位址」下方,輸入 IP 位址的名稱和說明。

  6. 按一下 [確定]

  7. 按一下 [建立]。

如要建立其他 KeyControl 節點,您可以使用剛建立的執行個體中的中繼資料。如要查看執行個體的 metadata,請前往「VM instances」(VM 執行個體) 頁面。

前往「VM Instances」(VM 執行個體) 頁面

為 KeyControl 例項設定防火牆規則

開始設定 KeyControl 前,請確認下列連接埠已為 KeyControl 開放,且可從 VPC 網路或您打算存取 KeyControl 的任何其他網路存取。

必要的通訊埠

類型 通訊協定 通訊埠範圍
SSH (22) TCP 22
HTTPS (443) TCP 443
自訂 TCP 規則 TCP 8443
自訂 UDP 規則 UDP 123

其他通訊埠

如果您打算將 KeyControl 用作 KMIP 伺服器,或想在 KeyControl 中使用 SNMP 輪詢功能,就必須使用下列連接埠。

類型 通訊協定 預設通訊埠
KMIP TCP 5696
SNMP UDP 161

如要瞭解如何設定防火牆,請參閱「防火牆表」。

設定第一個 KeyControl 節點,並初始化 KeyControl 網頁介面

您必須先使用 SSH 設定 KeyControl 執行個體,才能使用 KeyControl 網頁介面設定及維護 KeyControl 叢集。

以下程序說明如何設定叢集中的第一個 KeyControl 節點。請確認您有 KeyControl VM 執行個體 ID 和外部 IP 位址。

  1. 在 KeyControl VM 執行個體中登入 htadmin 帳戶。

    ssh htadmin@external-ip-address

  2. 系統提示輸入 htadmin 密碼時,請輸入 KeyControl 執行個體的執行個體 ID。

  3. 為 KeyControl 系統管理員帳戶 htadmin 輸入新密碼,然後按一下「Enter」。密碼必須至少包含 6 個半形字元,且不得包含空格或任何非 ASCII 字元。這個密碼可控管 HyTrust KeyControl 系統控制台的存取權,讓使用者執行某些 KeyControl 管理工作。但不允許 KeyControl 使用者存取完整的作業系統。

  4. 在「System configuration」畫面下方,選取「Install Initial KeyControl Node」,然後按一下「Enter」

  5. 查看確認對話方塊。這個對話方塊會提供可與 KeyControl 網頁介面搭配使用的公開網址,以及可用於將其他 KeyControl 節點新增至此叢集的私人 IP 位址。

  6. 按一下 Enter 鍵。

  7. 如要為這個叢集初始化 KeyControl 網路介面,請按照下列步驟操作:

    1. 在網路瀏覽器中前往 https://external-ip-address,其中 external-ip-address 是與 KeyControl 例項相關聯的外部 IP 位址。
    2. 系統提示時,請為 KeyControl IP 位址新增安全例外狀況,然後前往 KeyControl 網頁介面。
    3. 在 HyTrust KeyControl 登入頁面上,輸入使用者名稱「secroot」,並輸入執行個體 ID 做為密碼。
    4. 詳閱《使用者授權協議》(EULA)。按一下「我同意」接受授權條款。
    5. 在「變更密碼」頁面中,輸入 secroot 帳戶的新密碼,然後按一下「更新密碼」

    6. 在「Configure E-Mail and Mail Server Settings」頁面中輸入電子郵件設定。如果您輸入電子郵件地址,KeyControl 就會傳送電子郵件,內含新節點的管理員金鑰。系統也會將系統快訊傳送至這個電子郵件地址。

    7. 按一下「繼續」

    8. 在「自動生命徵象回報」頁面上,指定要啟用或停用自動生命徵象回報功能。您可以透過自動生命徵象回報功能,自動將 KeyControl 叢集的健康狀態資訊提供給 HyTrust 支援團隊。

      啟用這項服務後,KeyControl 會定期將含有系統狀態和診斷資訊的加密套件傳送至安全的 HyTrust 伺服器。如果 Vitals 服務發現叢集的健康狀態有問題,HyTrust 支援團隊可能會主動與您聯絡。

      KeyControl 安全性管理員只要在 KeyControl 網路介面中依序選取「Settings」>「Vitals」,即可隨時啟用或停用這項服務。詳情請參閱「設定自動重要指標報表」。

    9. 按一下 [Save & continue] (儲存並繼續)

    10. 如果您使用的是 Internet Explorer,請匯入憑證,並將 KeyControl IP 位址新增至可信任的網站清單。確認「Internet 選項」>「安全性」>「自訂層級」下方的「下載」>「檔案下載」選項已啟用。

設定其他節點並將其新增至現有叢集 (選用)

設定第一個 KeyControl 節點後,您可以從其他區域或區域新增其他節點。叢集中第一個節點的所有設定資訊都會複製到您新增至叢集的任何節點。

請確認您有 KeyControl VM 執行個體的執行個體 ID、與該 VM 執行個體相關聯的外部 IP 位址,以及叢集中現有 KeyControl 節點之一的私人 IP 位址。

  1. 登入 KeyControl VM 執行個體的 htadmin 帳戶。

      ssh htadmin@external-ip-address

  2. 系統提示輸入 htadmin 密碼時,請輸入要設定的 KeyControl 執行個體 ID。

  3. 為 KeyControl 系統管理員帳戶 htadmin 輸入新密碼,然後按一下「Enter」。密碼必須至少包含 6 個半形字元,且不得包含空格或任何非 ASCII 字元。

  4. 這個密碼可控管 HyTrust KeyControl 系統控制台的存取權,讓使用者執行某些 KeyControl 管理工作。但不會允許 KeyControl 使用者存取完整的作業系統。

  5. 在「System configuration」畫面下方,選取「Add KeyControl node to existing cluster」,然後按一下「Enter」

  6. 輸入叢集中任何 KeyControl 節點的內部 IP 位址,然後按一下「Enter」。KeyControl 會開始節點的初始設定程序。

  7. 如要找出現有節點的內部 IP 位址,請登入 KeyControl 網路介面,然後按一下頂端選單列中的「叢集」。前往「Servers」分頁,查看表格中的 IP 位址。

  8. 如果這個節點先前是所選叢集的一部分,KeyControl 會顯示提示,詢問您是否要清除現有資料並重新加入叢集。選取「是」,然後按一下「Enter」

  9. 如果這個節點是不同叢集的成員,或是原本設定為叢集中的唯一節點,則 KeyControl 會提示您,如果您繼續操作,目前節點上的所有資料都會遭到銷毀。選取「是」並按一下「Enter」,然後再次按一下「Enter」,即可在下一個提示中確認動作。

  10. 如果出現提示訊息,請輸入此 KeyControl 節點的一次性密碼,然後按一下「Enter」。密碼必須包含至少 16 個英數字元。不得包含空格或特殊字元。這個密碼是暫時字串,用於加密這個節點與現有 KeyControl 叢集之間的初始通訊。使用現有叢集驗證新節點時,請在 KeyControl 網頁介面中輸入此密碼字串,讓現有節點解密通訊內容,並驗證加入要求是否有效。

  11. 如果精靈可以連線至指定的 KeyControl 節點,就會顯示「Authentication」畫面,告知您節點現在是叢集的一部分,但必須在 KeyControl 網頁介面中完成驗證,系統才能使用該節點。

  12. 在 KeyControl 網頁介面中驗證節點。當「加入 KeyControl 叢集」畫面顯示網域管理員需要驗證新節點的訊息時,請登入該節點的 KeyControl 網路介面,並驗證新伺服器。節點完成驗證後,KeyControl 會繼續進行設定程序。

  13. 按一下 Enter 鍵。

驗證新的 KeyControl 節點

將新的 KeyControl 節點新增至現有叢集時,您必須透過加入節點的系統主控台中指定的節點 KeyControl 網頁介面,驗證新節點。舉例來說,如果您有三個節點,並透過指定第二個節點加入第四個節點,則必須透過第二個節點的網頁介面驗證新節點。如果您嘗試從其他節點進行驗證,程序會失敗。

  1. 使用具備網域管理員權限的帳戶登入 KeyControl 網頁介面。
  2. 按一下選單列中的「叢集」
  3. 按一下「Servers」分頁標籤。
  4. 選取要驗證的節點。對於尚未驗證的所有節點,「狀態」欄會顯示「Join Pending」
  5. 依序點選「動作」>「驗證」
  6. 輸入動態密碼,然後按一下「驗證」。這組通關密碼必須與您在安裝 KeyControl 節點時指定的通關密碼完全相同。密碼須區分大小寫。
  7. 按一下「重新整理」,確認狀態為「線上」
  8. 如要追蹤驗證程序的進度,請以 htadmin 身分登入要驗證的節點 KeyControl VM 主控台。

在私有雲和 KeyControl VPC 之間設定防火牆規則

vCenter 會透過 KMIP 通訊埠上的 KMIP 通訊協定與 HyTrust KeyControl 通訊。預設值為 TCP 5696。您可以透過 KeyControl 網頁介面設定通訊埠。

  1. 在 Google Cloud 控制台中,依序點選「VPC network」(虛擬私有雲網路) >「防火牆」
  2. 點按「建立防火牆規則」
  3. 輸入防火牆規則詳細資料。允許 vCenter 的 IP 位址與 KMIP 通訊埠上的 KeyControl 通訊。

設定 vCenter 以便使用 HyTrust KeyControl 做為外部 KMS

  1. 設定 KMIP 伺服器
  2. 在 vCenter 中建立 KMS 叢集
  3. 使用 vCenter 產生的 CSR,在 vCenter 和 KeyControl 之間建立信任連線