vSAN 加密簡介

如要對 vSAN 靜態資料進行加密，就必須使用金鑰管理系統 (KMS)。根據預設，Google Cloud VMware Engine 中 vSAN 資料加密的金鑰管理功能會使用Cloud Key Management Service 管理新建立的私有雲，且無需額外付費。

您可以改為部署外部 KMS，以便透過下列任一支援的供應商，加密閒置的 vSAN 資料。本頁面說明 vSAN 加密行為，並概略說明如何使用外部 KMS 加密 VMware Engine 中的虛擬機器靜止資料。

vSAN 資料加密

根據預設，VMware Engine 會為主要叢集和之後新增至私有雲的叢集中的資料啟用 vSAN 加密功能。靜態 vSAN 資料加密功能會使用資料加密金鑰 (DEK)，該金鑰會在加密後儲存在叢集的本機實體磁碟上。DEK 是 ESXi 主機自動產生的 AES-256 位元加密金鑰，符合 FIPS 140-2 標準。由提供者提供的金鑰加密金鑰 (KEK) 會用來加密 DEK。 Google-owned and managed key

我們強烈建議不要停用 vSAN 對靜態資料的加密功能，因為這可能會違反 Google Cloud VMware Engine 的服務特定條款。當您在叢集中停用 vSAN 對靜態資料的加密功能時，VMware Engine 監控邏輯會發出警示。為避免您違反服務條款，這則快訊會觸發 Cloud 客戶服務團隊主導的動作，在受影響的叢集中重新啟用 vSAN 加密功能。

同樣地，如果您設定外部 KMS，強烈建議不要在 vCenter Server 中刪除 Cloud Key Management Service 的金鑰供應器設定。

預設金鑰供應器

VMware Engine 會在新建立的私有雲中設定 vCenter Server，以便連線至 Google-owned and managed key 供應器。VMware Engine 會為每個區域建立一個金鑰供應器例項，而金鑰供應器會使用 Cloud KMS 加密 KEK。VMware Engine 會全面管理金鑰供應器，並將其設為在所有區域中提供高可用性。

Google-owned and managed key 供應器可補足 vCenter Server (vSphere 7.0 Update 2 以上版本) 內建的鍵供應器，也是正式環境的建議做法。內建金鑰供應器會以 vCenter Server 中的程序形式執行，而 vCenter Server 則會在 VMware Engine 中的 vSphere 叢集中執行。VMware 建議不要使用內建金鑰供應器來加密代管 vCenter Server 的叢集。請改用 Google 代管的預設金鑰供應器或外部 KMS。

金鑰輪替

使用預設金鑰供應器時，您必須負責輪替 KEK。如要輪替 vSphere 中的 KEK，請參閱 VMware 說明文件「Generate New Data-At-Rest Encryption Keys」(產生新的靜態資料加密金鑰)。

如要瞭解在 vSphere 中旋轉金鑰的其他方法，請參閱下列 VMware 資源：

• GitHub 上的 PowerCLI 範例指令碼
• vSAN 管理 API

支援的供應商

如要切換有效的 KMS，您可以選取符合 KMIP 1.1 且經 VMware 認證的第三方 KMS 解決方案，用於 vSAN。下列廠商已使用 VMware Engine 驗證其 KMS 解決方案，並發布了部署指南和支援聲明：

• Thales CipherTrust Manager
• HyTrust KeyControl
• Fortanix Self Defending KMS

如需設定操作說明，請參閱下列文件：

• 使用 Fortanix KMS 設定 vSAN 加密
• 使用 CipherTrust Manager 設定 vSAN 加密
• 使用 HyTrust KeyControl 設定 vSAN 加密

使用支援的供應商

每個外部 KMS 部署作業都需要執行相同的基本步驟：

• 建立 Google Cloud 專案或使用現有專案。
• 建立新的虛擬私有雲網路 (VPC)，或選擇現有的 VPC 網路。
• 將所選虛擬私有雲網路連線至 VMware Engine 網路。

接著，在 Compute Engine VM 執行個體中部署 KMS：

1. 設定必要的 IAM 權限，以便部署 Compute Engine VM 執行個體。
2. 在 Compute Engine 中部署 KMS。
3. 在 vCenter 和 KMS 之間建立信任關係。
4. 啟用 vSAN 資料加密功能。

以下各節將簡要說明使用其中一個支援的供應商的程序。

設定 IAM 權限

您必須具備足夠的權限，才能在特定 Google Cloud 專案和虛擬私有雲網路中部署 Compute Engine VM 執行個體、將虛擬私有雲網路連線至 VMware Engine，以及為虛擬私有雲網路設定防火牆規則。

具有網路管理員角色的專案擁有者和身分與存取權管理成員可以建立分配的 IP 範圍，以及管理私人連線。如要進一步瞭解角色，請參閱「Compute Engine 身分與存取權管理角色」。

在 Compute Engine 中部署金鑰管理系統

部分 KMS 解決方案可在 Google Cloud Marketplace 中以機器設備形式提供。您可以直接在 VPC 網路或 Google Cloud 專案中匯入 OVA，即可部署這類應用裝置。

如果是軟體式 KMS，請使用 KMS 供應商建議的設定 (vCPU 數量、vMem 和磁碟) 部署 Compute Engine VM 執行個體。在訪客作業系統中安裝 KMS 軟體。在連線至 VMware Engine 網路的 VPC 網路中建立 Compute Engine VM 執行個體。

在 vCenter 和 KMS 之間建立信任關係

在 Compute Engine 中部署 KMS 後，請設定 VMware Engine vCenter，以便從 KMS 擷取加密金鑰。

首先，請在 vCenter 中新增 KMS 連線詳細資料。接著，請在 vCenter 和 KMS 之間建立信任關係。如要建立 vCenter 與 KMS 之間的信任關係，請執行下列操作：

1. 在 vCenter 中產生憑證。
2. 使用 KMS 產生的權杖或金鑰簽署。
3. 提供或上傳該憑證至 vCenter。
4. 在 vCenter 伺服器設定頁面中查看 KMS 設定和狀態，確認連線狀態。

啟用 vSAN 資料加密功能

在 vCenter 中，預設的 CloudOwner 使用者具備足夠的權限，可啟用及管理 vSAN 資料加密功能。

如要從外部 KMS 切換回預設Google-owned and managed key 供應器，請按照「設定及管理標準金鑰供應器」一文中提供的步驟變更金鑰供應器。

後續步驟

• 瞭解 vSAN KMS 連線健康檢查。
• 瞭解 vSAN 7.0 加密功能。