CloudSimple プライベート クラウドの vSAN 暗号化の構成

  • [アーティクル]

CloudSimple プライベート クラウドが、Azure 仮想ネットワーク内で実行されているキー管理サーバーと連携できるように、vSAN ソフトウェア暗号化機能を構成できます。

VMware では、vSAN 暗号化を使用する場合、KMIP 1.1 に準拠した外部のサードパーティ キー管理サーバー (KMS) ツールを使用する必要があります。 VMware によって認定され、Azure で利用可能な、サポートされている KMS を利用できます。

このガイドでは、Azure 仮想ネットワークで実行されている HyTrust KeyControl KMS を使用する方法について説明します。 vSAN 用のその他の認定サードパーティ KMS ソリューションにも同様のアプローチを使用できます。

この KMS ソリューションでは、次のことを行う必要があります。

  • Azure 仮想ネットワークで VMware 認定サードパーティ KMS ツールをインストール、構成、管理する。
  • KMS ツールの自分のライセンスを提供する。
  • Azure 仮想ネットワークで実行されているサードパーティ KMS ツールを使用して、プライベート クラウドで vSAN 暗号化を構成および管理する。

KMS のデプロイ シナリオ

KMS サーバー クラスターは、Azure 仮想ネットワーク内で実行され、構成済みの Azure ExpressRoute 接続を介してプライベート クラウド vCenter から IP 接続可能です。

../media/KMS クラスター (Azure 仮想ネットワーク内)

ソリューションをデプロイする方法

デプロイ プロセスは、次の手順で行います。

  1. 前提条件が満たされていることを確認する
  2. CloudSimple ポータル: ExpressRoute のピアリング情報を取得する
  3. Azure portal: 仮想ネットワークをプライベート クラウドに接続する
  4. Azure portal: 仮想ネットワークに HyTrust KeyControl クラスターをデプロイする
  5. HyTrust WebUI: KMIP サーバーを構成する
  6. vCenter UI: Azure 仮想ネットワーク内の KMS クラスターを使用するように vSAN 暗号化を構成する

前提条件が満たされていることを確認する

デプロイの前に、次のことを確認します。

  • 選択した KMS ベンダー、ツール、バージョンが、vSAN 互換性リストに存在する。
  • 選択したベンダーが、Azure で実行するツールのバージョンをサポートしている。
  • Azure バージョンの KMS ツールが KMIP 1.1 に準拠している。
  • Azure Resource Manager と仮想ネットワークが既に作成されている。
  • CloudSimple プライベート クラウドが既に作成されている。

CloudSimple ポータル: ExpressRoute のピアリング情報を取得する

セットアップを続行するには、ExpressRoute の承認キーとピア回線 URI、および Azure サブスクリプションへのアクセスが必要です。 この情報は、CloudSimple ポータルの仮想ネットワーク接続に関するページで確認できます。 手順については、プライベート クラウドへの仮想ネットワーク接続の設定に関する記事を参照してください。 情報の取得に問題がある場合は、 サポート リクエストを開いてください。

Azure portal: 仮想ネットワークをプライベート クラウドに接続する

  1. Azure portal を使用して ExpressRoute の仮想ネットワーク ゲートウェイを構成する」の手順に従って、仮想ネットワークの仮想ネットワーク ゲートウェイを作成します。
  2. ポータルを使用して仮想ネットワークを ExpressRoute 回線に接続する」の手順に従って、仮想ネットワークを CloudSimple ExpressRoute 回線にリンクします。
  3. CloudSimple からのウェルカム メールで受信した CloudSimple ExpressRoute 回線情報を使用して、仮想ネットワークを Azure 内の CloudSimple ExpressRoute 回線にリンクします。
  4. 認証キーとピア回線 URI を入力し、接続に名前を付けて、[OK] をクリックします。

仮想ネットワークの作成時に CS ピア回線 URI を指定する

Azure portal: 仮想ネットワーク内の Azure Resource Manager に HyTrust KeyControl クラスターをデプロイする

仮想ネットワーク内の Azure Resource Manager に HyTrust KeyControl クラスターをデプロイするには、以下のタスクを実行します。 詳細については、HyTrust のドキュメントを参照してください。

  1. HyTrust のドキュメントに記載されている手順に従って、指定された受信規則で Azure ネットワーク セキュリティ グループ (nsg-hytrust) を作成します。
  2. Azure で SSH キーの組を生成します。
  3. Azure Marketplace のイメージから最初の KeyControl ノードをデプロイします。 生成されたキーの組の公開キーを使用し、KeyControl ノードのネットワーク セキュリティ グループとして nsg-hytrust を選択します。
  4. KeyControl のプライベート IP アドレスを静的 IP アドレスに変換します。
  5. そのパブリック IP アドレスと、前述したキーの組の秘密キーを使用して、KeyControl VM に SSH 接続します。
  6. SSH シェルで確認を求められたら、No を選択して、そのノードを最初の KeyControl ノードとして設定します。
  7. この手順の手順 3 から 5 を繰り返し、既存のクラスターへの追加に関して確認を求められたら、Yes を選択して、KeyControl ノードをさらに追加します。

HyTrust WebUI: KMIP サーバーを構成する

https://public-ip に移動します。ここで、public-ip は KeyControl ノード VM のパブリック IP アドレスです。 HyTrust のドキュメントに記載されているこれらの手順に従ってください。

  1. KMIP サーバーの構成
  2. VMware 暗号化用の証明書バンドルの作成

vCenter UI: Azure 仮想ネットワーク内の KMS クラスターを使用するように vSAN 暗号化を構成する

HyTrust の手順に従って、vCenter で KMS クラスターを作成します。

vCenter での KMS クラスターの詳細の追加

VCenter で、[クラスター] > [構成] の順に移動し、vSAN の [全般] オプションを選択します。 暗号化を有効にし、以前に vCenter に追加した KMS クラスターを選択します。

vCenter での vSAN 暗号化の有効化と KMS クラスターの構成

References

Azure

Azure portal を使用して ExpressRoute の仮想ネットワーク ゲートウェイを構成する

ポータルを使用して仮想ネットワークを ExpressRoute 回線に接続する

HyTrust

HyTrust DataControl と Microsoft Azure

KMIP サーバーの構成

VMware 暗号化用の証明書バンドルの作成

vSphere での KMS クラスターの作成