IBM Cloud Docs
KMIP for VMware 实现和管理

KMIP for VMware 实现和管理

计划

KMIP™ for VMware 服务不向您收费。 要查看 Key Protect 和 Hyper Protect Crypto Services 定价计划,请参阅 Key ProtectHyper Protect Crypto Services 目录页面。

如果使用 VMware vSAN™ 加密,请计划在 Key Protect 或 Hyper Protect Crypto Services 中使用一个根密钥,并为加密的每个 vSAN 群集使用两个标准密钥。

如果使用 VMware vSphere® 加密,请计划使用一个根密钥,每个 vSphere 群集使用一个标准密钥,每个加密虚拟机 (VM) 使用一个标准密钥。

Key Protect 和 Hyper Protect Crypto Services 仅适用于多区区域 (MZR)。 Hyper Protect Crypto Services (HPCS) 仅在选定的 MZR 中提供。 VMware® 的 KMIP 会自动部署在与 Key Protect 或 HPCS 实例相同的区域。 VMware vCenter Server® 可以承受 KMIP 服务的高延迟,因此通常无需担心距离问题。

连接密钥管理服务器

要使用 KMIP for VMware 来启用 vSphere 加密或 vSAN 加密,需要完成以下任务:

  1. 在帐户中启用服务端点
  2. 使用 IBM Key ProtectIBM Cloud Hyper Protect Crypto Services 创建密钥管理器实例。 如果使用 Hyper Protect Crypto Services (HPCS),请确保 初始化加密实例,以便 Hyper Protect Crypto Services 可以提供与密钥相关的功能。
  3. 在密钥管理器实例中创建客户根密钥 (CRK)。
  4. 如果使用 Key Protect,请创建 Identity and Access Management (IAM) 服务 ID 的API 密钥,以便与 VMware 的 KMIP 配合使用。 授予此服务 ID 对您的 Key Protect 实例的 Platform Viewer 访问权和 Service Write 访问权。
  5. 从 IBM Cloud for VMware Solutions 控制台为 VMware 实例创建 KMIP
  6. 如果使用的是 HPCS,请为您的 KMIP for VMware 实例创建一个 IAM 服务授权,以连接到您的 HPCS 实例。 为 VMware 实例授予平台 查看器访问权限和服务 VMware KMIP 管理器访问权限。
  7. 为 VMware 实例配置 KMIP,以连接到 Key Protect 或 HPCS 实例,并选择要与 KMIP 一起使用的 CRK。
  8. 在 vCenter 服务器中,创建密钥提供程序集群。
    • 如果使用 Key Protect,则在该群集上配置两台服务器,在所选区域内为 VMware 端点的每个 KMIP 配置一台。
    • 如果使用 HPCS,请配置此群集以连接到唯一分配给 VMware 实例的 KMIP 的主机名和端口。
  9. 选择 VMware 方法之一,在 vCenter Server 中生成或安装 KMS 客户端证书。
  10. 导出证书的公共版本,并在 KMIP for VMware 实例中将其配置为允许的客户机证书。 密钥管理器实例获取已配置客户证书的最长时间间隔为 5 分钟。 因此,如果无法向 vCenter 服务器建立 KMS 信任,请等待 5 分钟再试。

启用加密

要使用 vSAN 加密,请在 vCenter Server 群集中编辑 vSAN 常规设置,并选择加密复选框。

vSAN 健康检查可能会定期发送警告,称无法从一台或多台 vSphere 主机连接到 KMS 群集。 出现这些警告是因为 vSAN 运行状况检查连接超时过快。 您可以忽略这些警告。 有关详细信息,请参阅 vSAN KMS 健康检查间歇性失败并伴有 SSL 握手超时错误

要使用 vSphere 加密,请编辑虚拟机存储策略以要求磁盘加密。

重要注意事项

有些虚拟机需要特别的加密规划,尤其是如果它们涉及到可能的循环依赖关系,以获取密钥材料来运行自己。 请考虑以下信息:

  • vCenter 服务器参与检索加密密钥。 该虚拟机不得使用 vSphere 加密,也不得位于加密的 vSAN 数据存储上。
  • 环境中的 Microsoft Windows® Active Directory 控制器用于主机名解析,以连接到密钥管理。 请勿使用 vSphere 加密对它们进行加密,或将它们放在加密的 vSAN 数据存储上,除非您准备好在需要重新启动环境时提供备用主机名解析。
  • VMware 不建议通过使用 vSphere 加密来加密 VMware NSX® 虚拟机。

密钥轮换

使用 IBM Cloud 控制台或 API 旋转 Key ProtectHyper Protect Crypto Services 客户根密钥 (CRK)。

  • 对于vSAN加密,请从vCenter服务器群集的vSAN常规设置中旋转VMware密钥加密密钥和数据加密密钥(可选)。
  • 对于 vSphere 加密,请使用 Set-VMEncryptionKey PowerShell 命令旋转 VMware 密钥加密密钥和数据加密密钥(可选)。

密钥撤销

您可以通过从密钥管理器中删除所选 CRK 来撤销 KMIP for VMware 使用的所有密钥。

撤销密钥后,受这些密钥和 KMIP for VMware 实例保护的所有数据都会通过此方法以加密方式粉碎。 ESXi 主机处于电源打开状态时,VMware 会保留一些密钥,因此您需要重新启动 vSphere 集群,以确保不再使用所有加密数据。

KMIP for VMware 使用与 VMware 已知的密钥标识关联的名称,将各个包装的 KEK 存储在 Key Protect 或 Hyper Protect Crypto Services 实例中。 您可以删除单个密钥,以撤销单个磁盘或驱动器的加密。

从清单中除去具有加密磁盘的 VM 时,VMware 不会从 KMS 中删除密钥。 此过程允许从备份中恢复该虚拟机,或将其恢复到库存中。 如果要收回这些密钥并从加密角度使所有备份失效,则需要在删除虚拟机后从密钥管理器实例中删除密钥。