KMIP for VMware 實作及管理
計劃
您無需為 KMIP™ for VMware服務付費。 若要查看Key Protect和Hyper Protect Crypto Services定價計劃,請參閱 Key Protect 和 Hyper Protect Crypto Services 目錄頁面。
如果您使用VMware vSAN™加密,請規劃在Key Protect或Hyper Protect Crypto Services中使用一個根金鑰,並為您加密的每個vSAN叢集使用兩個標準金鑰。
如果您使用VMware vSphere®加密,請規劃使用一個根金鑰、每個vSphere叢集一個標準金鑰以及每個加密虛擬機器 (VM) 一個標準金鑰。
Key Protect和Hyper Protect Crypto Services僅在多專區區域 (MZR) 中可用。 Hyper Protect Crypto Services (HPCS) 僅在選定的 MZR 中可用。 KMIP for VMware®會自動部署在與您的Key Protect或 HPCS 執行個體相同的區域。 VMware vCenter Server® 可以容忍 KMIP 服務的高延遲,因此距離通常不必擔心。
連接金鑰管理伺服器
若要使用 KMIP for VMware 來啟用 vSphere 加密或 vSAN 加密,您需要完成下列作業:
- 在帳戶中啟用服務端點。
- 使用 IBM Key Protect 或 IBM Cloud Hyper Protect Crypto Services 建立金鑰管理器實例。 如果您使用Hyper Protect Crypto Services (HPCS),請務必 初始化您的加密實例,以便Hyper Protect Crypto Services可以提供金鑰相關功能。
- 在金鑰管理程式實例內建立客戶根金鑰 (CRK)。
- 如果您使用Key Protect,請 為服務 ID 建立Identity and Access Management(IAM) API 金鑰,以便與 KMIP for VMware結合使用。 向此服務 ID 授予對Key Protect實例的平台檢視器存取權限和服務寫入存取權限。
- 從IBM Cloud for VMware Solutions控制台 建立 KMIP for VMware實例。
- 如果您使用 HPCS,請為您的 KMIP for VMware執行個體建立 IAM 服務授權至您的 HPCS 執行個體。 向您的 KMIP for VMware實例授予對 HPCS 實例的 Platform Viewer 存取權和 Service VMware KMIP Manager 存取權。
- 配置 KMIP for VMware實例以連接到Key Protect或 HPCS 實例,並選擇與 KMIP 一起使用的 CRK。
- 在vCenter Server 中,建立金鑰提供者群集。
- 如果您使用的是Key Protect,請為此叢集設定兩台伺服器,一台伺服器用於所選區域中的每個 KMIP for VMware端點。
- 如果您使用 HPCS,請設定此叢集以連線至唯一指派給 KMIP for VMware執行個體的主機名稱和連接埠。
- 選擇一種VMware方法在vCenter Server 中產生或安裝 KMS 用戶端憑證。
- 匯出公用版本的憑證,並將它配置為 KMIP for VMware 實例中容許的用戶端憑證。 金鑰管理器執行個體取得配置的用戶端憑證的最大間隔為 5 分鐘。 因此,如果您無法建立對vCenter Server 的 KMS 信任,請等待 5 分鐘,然後再試一次。
啟用加密
若要使用vSAN加密,請編輯vCenter Server 叢集中的vSAN常規設定並選取加密複選框。
vSAN運作狀況檢查可能會定期發送警告,告知其無法從一台或多台vSphere主機連線到 KMS 叢集。 這些警告發生的原因是 vSAN 性能檢查連線太快逾時。 您可以忽略這些警告。 有關詳細信息,請參見 vSAN KMS 運行狀況檢查間歇性失敗並出現 SSL 握手超時錯誤。
若要使用vSphere加密,請編輯虛擬機器儲存策略以要求磁碟加密。
重要注意事項
某些虛擬機器需要特殊的加密規劃,特別是當它們涉及可能的循環依賴以獲得密鑰材料以進行自身操作時。 請考量下列資訊:
- vCenter Server 參與檢索加密金鑰。 該虛擬機器不得使用vSphere加密進行加密,且不得位於加密的vSAN資料儲存上。
- 您環境中的Microsoft Windows® Active Directory控制器用於主機名稱解析以連接到金鑰管理。 除非您準備在需要重新啟動環境時提供備用主機名稱解析,否則請勿使用vSphere加密對它們進行加密或將它們放置在加密的vSAN資料儲存上。
- VMware不建議使用vSphere加密來加密VMware NSX® VM。
金鑰輪換
使用IBM Cloud控制台或 API 輪調您的 Key Protect 或 Hyper Protect Crypto Services 客戶根金鑰 (CRK)。
- 對於vSAN加密,請從vCenter Server 叢集中的vSAN常規設定輪換VMware金鑰加密金鑰和資料加密金鑰(選用)。
- 對於vSphere加密,請使用 Set-VMEncryptionKey PowerShell指令輪替VMware金鑰加密金鑰和資料加密金鑰(選用)。
金鑰撤銷
您可以藉由從金鑰管理程式中刪除選擇的 CRK,來撤銷 KMIP for VMware 正在使用的所有金鑰。
撤銷金鑰時,此方法會以加密方式清除受這些金鑰及 KMIP for VMware 實例所保護的所有資料。 VMware 會保留部分金鑰,同時開啟 ESXi 主機的電源,因此,您需要重新啟動 vSphere 叢集,確定無法再使用所有已加密資料。
KMIP for VMware 會使用與 VMware 已知之金鑰 ID 相關聯的名稱,將個別包裝的 KEK 儲存在 Key Protect 或 Hyper Protect Crypto Services 實例中。 您可以刪除個別金鑰,以撤銷個別磁碟或磁碟機的加密。
從庫存移除具有已加密磁碟的 VM 時,VMware 不會刪除 KMS 中的金鑰。 此過程是為了允許從備份或還原到清單中還原該虛擬機器。 如果您想要回收這些金鑰並以加密方式使所有備份失效,則需要在刪除虛擬機器後從金鑰管理器執行個體中刪除這些金鑰。