IBM Cloud Docs
在 Hyper Protect Crypto Services 标准套餐中配置 KMIP 以进行密钥管理和分发

在 Hyper Protect Crypto Services 标准套餐中配置 KMIP 以进行密钥管理和分发

密钥管理互操作性协议 (KMIP) 是用于存储和维护密钥,证书和密钥对象的通信协议。 该标准由结构化信息标准促进组织 (OASIS) 管辖。Hyper Protect Crypto Services 提供专用单租户 KMIP 适配器,以便 VMware vCenter 服务器实例可以使用 Hyper Protect Crypto Services 作为 VMware vSphere 加密和 vSAN 加密的密钥管理服务 (KMS)。

本教程仅基于标准套餐实例设置。

下图说明了 Hyper Protect Crypto Services 实例中提供的 KMIP 适配器如何与 VMWare 客户环境配合工作的总体工作流程。

具有 VMWare 客户环境的 KMIP 工作流程
图 1。 具有 VMWare 客户环境的 KMIP 工作流程

整个工作流程包含以下步骤:

  1. 创建 Hyper Protect Crypto Services 标准套餐实例和根密钥。
  2. 使用 Hyper Protect Crypto Services 服务实例配置 VMWare 解决方案服务 KMIP for VMWareKMIP for VMware 服务用于管理 KMIP 适配器和 KMIP 客户机证书的生命周期。
  3. 将 VMware vCenter 服务器连接到 KMIP,并启用 vSphere 加密或 vSAN 加密。

目标

本教程说明如何在 IBM Cloud中使用 VMWare 解决方案配置 KMIP。

准备工作

要完成本教程,您需要满足以下先决条件:

任务流程

要完成此解决方案,我们将完成以下步骤:

  1. 在 IAM 中授予服务到服务授权
  2. 使用 Hyper Protect Crypto Services 实例为 VMWare 配置 KMIP
  3. 配置 vCenter Server 与 KMIP 适配器之间的可信连接

让我们从服务授权流程开始。

在 IAM 中授予服务到服务授权

  1. 登录到 IBM Cloud后,单击菜单上的 Manage> Access (IAM)

  2. 在左侧导航窗格上选择 授权

  3. 单击创建按钮。

  4. 在“授予服务授权”页面上,填写以下信息:

    • 源服务 下拉列表下,选择 VMWare Solutions,然后选择 KMIP for VMWare 服务实例标识。
    • 目标服务 下拉列表下,选择 Hyper Protect Crypto Services 服务,然后选择 Hyper Protect Crypto Services 实例标识。
    • 在“平台访问权”窗格中,选择 查看器 选项。
    • 在“服务访问”窗格中,选择 VMWare KMIP Manager 选项。

  5. 单击 授权 按钮以完成服务授权。

使用 Hyper Protect Crypto Services 实例配置 KMIP for VMWare

  1. IBM Cloud for VMware Solutions UI 中,单击左侧导航窗格中的 资源

  2. 向下滚动到 KMIP for VMware 实例 表,单击要配置 Hyper Protect Crypto Services 实例的实例。 KMIP for VMware 实例的状态为 不活动,因为尚未配置该实例。

  3. 从下一页的左侧导航窗格中选择 入门

  4. 选择 初始化服务实例 选项和 Hyper Protect 作为密钥管理类型。

    • 选择用于存储根密钥和密钥加密密钥的 Hyper Protect Crypto Services 实例标识。 您可以单击 检索 按钮以获取 IBM Cloud 帐户下的 Hyper Protect Crypto Services 实例的列表。

      将仅列出至少包含一个根密钥的 Hyper Protect Crypto Services 实例的标识。 请确保首先 创建根密钥,但不要将根密钥与任何已创建的密钥环相关联,以使其自动与缺省密钥环相关联。

    • 选择根密钥以合并数据加密密钥的密钥加密密钥。 您可以单击 检索 按钮以获取存储在所选 Hyper Protect Crypto Services 实例上的根密钥列表。

      确保不删除您为密钥打包选择的根密钥。 否则,无法访问 KMIP 适配器为 VMWare 解决方案存储的数据加密密钥。

  5. 单击 配置 以完成配置。 (可选) 如果您具有要复用的现有 VMWare 或 vCenter 环境,那么可以添加客户机证书。

  6. 单击 刷新,并确保 KMIP for VMware 实例的状态为 已安装

  7. 确定下一步的 KMIP 服务器端点信息。 例如,<instance_ID>.kmip.private.us-south.hs-crypto.appdomain.cloud

配置 vCenter Server 与 KMIP 适配器之间的可信连接

  1. 在 vSphere 客户机 UI 中,完成以下步骤:

    a. 在配置期间使用上一步中的 KMIP 服务器地址和端口信息将 KMS 添加到 vCenter Server。

    b. 在 KMS 实例与 vCenter Server 之间配置相应的信任方法,然后下载生成的证书。

  2. KMIP for VMware 实例 页面上,添加来自 vCenter Server 的证书。

  3. 验证 vCenter 服务器的 KMS 的连接状态是否为 已连接

  4. 可选: 创建加密虚拟机以检查是否使用了来自 KMS 的加密密钥。

在本教程中,您学习了如何在 Hyper Protect Crypto Services中使用 KMIP 配置 VMWare。

下一步

以下演示视频是为了让您更好地了解这一过程。