vSAN暗号化機能について
今回は、vSANの暗号化機能を有効にするための検証をしたので、その手順をまとめました。
検証環境
・vSphere 6.7 Update1
・vSAN 6.7 EP07
・HyTrust KeyControl v4.3.1-15304 (KMSサーバー)
※HyTrust KeyControlのOVAファイルは以下のURLからFree Trial版をダウンロードしました。
https://www.hytrust.com/products/keycontrol/
HyTrust KeyControlのOVAファイルをデプロイします。
デプロイ完了後、パワーオンしパスワードを設定します
コンソールでの設定が完了したら、Web GUIにログインします。
初回のログイン時はデフォルトの"secroot / secroot"でログインします。
User Name:secroot
Password:secroot
ログイン後はパスワードの変更が求められます。
以下のように、KMIPのStateを"ENABLED"に変更、Protocolを適切なVersionに変更します。
"Client Certificates"をクリックし、Actionsから"Create Certificate"を選択します。
Certificate Nameを入力して、"Create"をクリック
※今回はパスワード無しで設定します
"Download Certificate"をクリックします。
ダウンロードしたファイルを解凍すると、以下の2つのファイルがありますが
今回は、"kmvcert.pem"の方を使用します。
vCenterにKMSを追加します。
vCenter > 設定 > キー管理サーバ > 追加
必要情報を入力して追加をクリック
"KMSがVCENTER SERVERを信頼するようにします"をクリック
KMS証明書およびプライベートキーをチェックし"次へ"をクリック
ダウンロードして解凍したファイル(kmvcert.pem)をアップロードして、"信頼の確立"をクリックします。
接続状態が"接続済み"になりました
次は、vSANクラスタで暗号化を有効にします。
vSANクラスタ > 設定 > vSAN > サービス > 暗号化 > 編集をクリック
暗号化を有効化して、"適用"をクリックします。
上記で有効化の手順は完了です。
有効化後、vSANディスクの再フォーマットとディスクグループの再作成が行われます。
手順としては簡単ですが、注意事項として、KMSサーバーはvSANデータストア以外に配置する事が注意事項です。
※KMSサーバーが起動していない状態でESXiホストを再起動するとディスクグループがマウントされません。
[参考]
以上です。