订购 KMIP for VMware 实例
用于 VMware® 的密钥管理互操作性协议 (KMIP™) 对 Key Protect 的支持将于 2026 年 7 月 16 日终止,此后,与 Key Protect 服务的互操作性将失效。 迁移到 IBM® Key Protect 为 IBM Cloud®。
本公告仅适用于使用 KMIP for VMware 支持 Key Protect 的客户。 使用 KMIP 实现 VMware 支持 Hyper Protect Crypto Services (HPCS) 的客户不受此公告影响。 VMware 支持 HPCS 的 KMIP 继续照常运行,不受任何影响。
您可以订购 KMIP™ for VMware® 实例,而无需将其与任何 VMware Cloud Foundation for Classic - Automated 实例关联,以便灵活管理服务和实例。
准备工作
请完成以下任务:
- 在 “设置”页面上配置 IBM Cloud® 基础设施凭据。 有关更多信息,请参阅用户帐户和设置。
- 为 VMware 实例安装 KMIP 时,请查看“注意事项”中的所有注意事项。
订购 KMIP for VMware 实例
设置
订购 KMIP for VMware 实例时,请配置以下设置:
资源组
使用资源组来组织账户中的资源,以便进行访问控制和计费。 已选择账户中的默认资源组。 您也可以根据需要选择其他资源组。 创建实例后,无法更改所选的资源组。
如果此字段显示“无可用资源组”,则表示您目前没有此账户中任何资源组的权限。 请联系帐户所有者以在帐户中的资源组上分配编辑者或管理员角色。 更多信息,请参阅 IBM Cloud IAM 角色。
实例名称
实例名称默认设置为 kmip-xx,其中 xx 代表两个随机生成的字母字符。
您还可以为 KMIP for VMware 实例指定一个名称。
为 VMware 订购 KMIP 实例的步骤
- 在 IBM Cloud for VMware Solutions 控制台中,向下滚动到服务部分,然后单击 VMware 类别中 安全性和合规性的 KMIP。
- 在 KMIP for VMware 页面上,根据需要配置服务设置。
- 单击创建。
订购后的结果
- 实例部署自动开始,您会收到控制台通知,说明您的订单请求正在处理中。 实例显示在 KMIP for VMware 表中,该表位于 KMIP for VMware > Resources 页,来自 IBM Cloud for VMware Solutions 控制台。 实例的状态是 正在安装。
- 实例部署成功后,其状态将更改为 Inactive。
激活 VMware 的 KMIP 实例
先决条件
如果使用 Hyper Protect Crypto Services (HPCS),则必须首先创建一个服务授权,允许您的 KMIP for VMware 实例访问您的 HPCS 实例。 然后,将平台 Viewer 角色和服务 VMware KMIP Manager 角色同时授予您的 KMIP for VMware 实例。 有关详细信息,请参阅 在 IAM 中授予服务对服务授权。
设置
启用 VMware 实例的非活动 KMIP 时,请提供以下设置:
| 设置 | 描述 |
|---|---|
| HPCS 实例 | 可选择用于密钥管理的可用 HPCS 实例列表 |
| 客户根密钥 | 存储在所选 HPCS 实例中的客户根键列表 |
激活 VMware 实例的 KMIP 的步骤
-
对于密钥管理类型,选择 Hyper Protect Crypto Services.
-
要选择密钥管理服务,请单击“检索”获取可用 HPCS 实例列表,然后选择一个用于密钥管理。
-
从列表中选择密钥管理器实例。
-
在 Customer root key 下,将显示根键的名称和值。 选择所需的根键。
-
(可选)要添加客户端 SSL 证书,请单击添加。 在添加客户端 SSL 证书窗口中,输入证书的名称和内容,然后单击添加。
证书名称不能在所选实例中复用。 证书内容必须有效,并包含 BEGIN CERTIFICATE 和 END CERTIFICATE 标记。
-
单击配置。
激活后的结果
- 实例配置自动启动。 实例状态更改为“正在配置”。
- 当实例可以使用时,实例的状态会更改为 Installed。
(可选)添加客户端 SSL 证书
如果在上一步中没有添加客户端 SSL 证书,则必须在可以使用实例后再添加。
添加客户端 SSL 证书的步骤
-
在 VMware Solutions 控制台中,从左侧导航面板单击 Resources > KMIP for VMware。
-
在 KMIP for VMware 表中,单击要添加证书的实例。
-
单击添加。
-
在添加客户端 SSL 证书窗口中,输入证书名称和内容,然后单击添加。
证书名称不能在所选实例中复用。 证书内容必须有效且包含 BEGIN CERTIFICATE 和 END CERTIFICATE 标记,并且证书不能在部署了该实例的所选区域中复用。
添加客户端 SSL 证书后的结果
- 您会收到控制台通知,说明正在处理添加证书的请求。
- 成功添加证书后,您会收到控制台确认,已添加的证书会显示在服务详细信息页面的 客户端 SSL 证书表中。
将 vCenter 服务器连接到 KMIP 实例
使用上传到 KMIP 实例的客户端证书,将 vCenter 服务器连接到 KMIP 实例。
如果 KMIP 实例连接到 HPCS,则可在 KMIP for VMware 实例中找到单负载平衡 KMIP 端点的详细信息。 使用此端点可在 vCenter 中配置单个密钥提供程序。
您可以在下表中找到每个区域的端点:
| 地区 | 端点 |
|---|---|
| 达拉斯 | kmip-1.private.us-south.vmware-solutions.cloud.ibm.com:5696kmip-2.private.us-south.vmware-solutions.cloud.ibm.com:5696 |
| 法兰克福 | kmip-1.private.eu-central.vmware-solutions.cloud.ibm.com:5696kmip-2.private.eu-central.vmware-solutions.cloud.ibm.com:5696 |
| 伦敦 | kmip-1.private.uk-south.vmware-solutions.cloud.ibm.com:5696kmip-2.private.uk-south.vmware-solutions.cloud.ibm.com:5696 |
| 大板 | kmip-1.private.jp-osa.vmware-solutions.cloud.ibm.com:5696kmip-2.private.jp-osa.vmware-solutions.cloud.ibm.com:5696 |
| 圣保罗州 | kmip-1.private.br-sao.vmware-solutions.cloud.ibm.com:5696kmip-2.private.br-sao.vmware-solutions.cloud.ibm.com:5696 |
| 悉尼 | kmip-1.private.ap-south.vmware-solutions.cloud.ibm.com:5696kmip-2.private.ap-south.vmware-solutions.cloud.ibm.com:5696 |
| 东京 | kmip-1.private.ap-north.vmware-solutions.cloud.ibm.com:5696kmip-2.private.ap-north.vmware-solutions.cloud.ibm.com:5696 |
| 多伦多 | kmip-1.private.ca-tor.vmware-solutions.cloud.ibm.com:5696kmip-2.private.ca-tor.vmware-solutions.cloud.ibm.com:5696 |
| 华盛顿 | kmip-1.private.us-east.vmware-solutions.cloud.ibm.com:5696kmip-2.private.us-east.vmware-solutions.cloud.ibm.com:5696 |
| 马德里自治区 | kmip-1.private.eu-es.vmware-solutions.cloud.ibm.com:5696kmip-2.private.eu-es.vmware-solutions.cloud.ibm.com:5696 |
