IBM Cloud Docs
Implementazione e gestione di KMIP for VMware

Implementazione e gestione di KMIP for VMware

Il supporto di Key Management Interoperability Protocol (KMIP™) per VMware® relativo a Key Protect terminerà il 16 luglio 2026, dopodiché l'interoperabilità con il servizio Key Protect non sarà più disponibile. Migrare a IBM® Key Protect per IBM Cloud®.

Questo annuncio è applicabile solo ai clienti che utilizzano il supporto KMIP per VMware per Key Protect. I clienti che utilizzano KMIP per il supporto di VMware per Hyper Protect Crypto Services (HPCS) non sono interessati da questo annuncio. Il supporto KMIP per VMware per HPCS continua a funzionare come di consueto senza alcun impatto.

Pianificazione

Il servizio KMIP™ per VMware non è a pagamento. Per esaminare i piani tariffari di Hyper Protect Crypto Services, consultare le pagine del Hyper Protect Crypto Services pagine del catalogo.

Se si utilizza la crittografia VMware vSAN™, si prevede di utilizzare una chiave principale in Hyper Protect Crypto Services e due chiavi standard per ogni cluster vSAN che si crittografa.

Se si utilizza la crittografia VMware vSphere®, pianificare l'uso di una chiave principale, una chiave standard per cluster vSphere e una chiave standard per macchina virtuale (VM) crittografata.

Hyper Protect Crypto Services è disponibile solo nelle regioni multizona (MZR). Hyper Protect Crypto Services (HPCS) è disponibile solo in alcuni MZR. KMIP per VMware® viene distribuito automaticamente nella stessa regione dell'istanza HPCS. VMware vCenter Il Server® è in grado di tollerare un'elevata latenza del servizio KMIP, quindi la distanza non è di solito un motivo di preoccupazione.

Connessione al server di gestione delle chiavi

Per abilitare la crittografia vSphere o vSAN utilizzando KMIP for VMware, devi completare le seguenti attività:

  1. Abilitazione degli endpoint del servizio nel tuo account.
  2. Creare un'istanza del gestore di chiavi, utilizzando IBM Cloud Hyper Protect Crypto Services. Se si utilizza Hyper Protect Crypto Services (HPCS), assicurarsi di inizializzare l'istanza di crittografia in modo che Hyper Protect Crypto Services possa fornire le funzioni relative alle chiavi.
  3. Crea una chiave root del cliente (CRK) all'interno della tua istanza del gestore chiavi.
  4. Crea un'istanza KMIP for VMware dalla console IBM Cloud for VMware Solutions.
  5. Se si utilizza HPCS, creare un'autorizzazione di servizio IAM per la propria istanza KMIP for VMware alla propria istanza HPCS. Concedere all'istanza KMIP per VMware sia l'accesso Platform Viewer sia l'accesso Service VMware KMIP Manager all'istanza HPCS.
  6. Configurare l'istanza KMIP per VMware per connettersi all'istanza HPCS e selezionare il CRK da usare con KMIP.
  7. All'interno di vCenter Server, creare un cluster di key provider.
    • Se si utilizza HPCS, configurare questo cluster per connettersi all'hostname e alla porta assegnati in modo univoco all'istanza KMIP per VMware.
  8. Selezionare uno dei metodi VMware per generare o installare un certificato client KMS in vCenter Server.
  9. Esporta la versione pubblica del certificato e configuralo come un certificato client consentito nella tua istanza KMIP for VMware. L'istanza del gestore di chiavi ha un intervallo massimo di 5 minuti per ottenere i certificati client configurati. Pertanto, se non si riesce a creare una fiducia KMS verso il server vCenter, attendere 5 minuti e riprovare.

Abilitazione della crittografia

Per utilizzare la crittografia di vSAN, modificare le impostazioni generali di vSAN nel cluster di vCenter Server e selezionare la casella di controllo della crittografia.

Il controllo dello stato di salute di vSAN potrebbe inviare avvisi periodici sull'impossibilità di connettersi al cluster KMS da uno o più host vSphere. Queste avvertenze si verificano perché la connessione del controllo di integrità vSAN va in timeout troppo velocemente. Puoi ignorare queste avvertenze. Per ulteriori informazioni, consultare vSAN KMS health check intermittente con errore di timeout dell'handshake SSL.

Per utilizzare la crittografia vSphere, modificare i criteri di archiviazione della macchina virtuale per richiedere la crittografia del disco.

Avvertenze importanti

Alcune macchine virtuali richiedono una pianificazione speciale per la crittografia, soprattutto se sono coinvolte in una possibile dipendenza circolare per ottenere il materiale chiave per operare da sole. Considera le seguenti informazioni:

  • vCenter Il server è coinvolto nel recupero delle chiavi di crittografia. Questa macchina virtuale non deve essere crittografata utilizzando la crittografia vSphere e non deve trovarsi su un datastore vSAN crittografato.
  • I controller Microsoft Windows® Active Directory presenti nell'ambiente sono utilizzati per la risoluzione degli hostname per connettersi alla gestione delle chiavi. Non crittografateli utilizzando la crittografia vSphere né collocateli su un datastore vSAN crittografato, a meno che non siate disposti a fornire una risoluzione alternativa del nome di host in caso di riavvio dell'ambiente.
  • VMware non consiglia di criptare VMware NSX® VM utilizzando la crittografia vSphere.

Rotazione delle chiavi

Ruotare la propria Hyper Protect Crypto Services la chiave root del cliente (CRK) può essere utilizzata tramite la console o l'API di IBM Cloud.

  • Per la crittografia di vSAN, ruotare le chiavi di crittografia VMware e le chiavi di crittografia dei dati (facoltativamente) dalle impostazioni generali di vSAN nel cluster vCenter Server.
  • Per la crittografia di vSphere, ruotare le chiavi di crittografia VMware e le chiavi di crittografia dei dati (opzionalmente) utilizzando il comando Set-VMEncryptionKey PowerShell.

Revoca delle chiavi

Puoi revocare tutte le chiavi utilizzate da KMIP for VMware eliminando la tua CRK scelta dal tuo gestore chiavi.

Quando le chiavi vengono revocate, tutti i dati protetti da queste chiavi e dalla tua istanza KMIP for VMware vengono frammentati in modo crittografico da questo metodo. VMware conserva alcune chiavi quando un host ESXi è acceso, per cui devi riavviare il tuo cluster vSphere per assicurarti che tutti i dati crittografati non vengano più utilizzati.

KMIP per VMware memorizza le singole KEK avvolte nell'istanza di Hyper Protect Crypto Services utilizzando nomi associati agli ID delle chiavi noti a VMware. Puoi eliminare le chiavi individuali per revocare la crittografia di dischi o unità individuali.

VMware non elimina le chiavi dal KMS quando una VM che dispone di dischi crittografati viene rimossa dall'inventario. Questo processo serve a consentire il ripristino di quella macchina virtuale dal backup o se viene ripristinata nell'inventario. Se si desidera recuperare queste chiavi e invalidare crittograficamente tutti i backup, è necessario eliminare le chiavi dall'istanza del key manager dopo aver eliminato le macchine virtuali.