今回は、vSANの暗号化機能を有効にするための検証をしたので、その手順をまとめました。

検証環境

・vSphere 6.7 Update1

・vSAN 6.7 EP07

・HyTrust KeyControl v4.3.1-15304 (KMSサーバー)

※HyTrust KeyControlのOVAファイルは以下のURLからFree Trial版をダウンロードしました。

https://www.hytrust.com/products/keycontrol/

HyTrust KeyControlのOVAファイルをデプロイします。

 デプロイ完了後、パワーオンしパスワードを設定します 

コンソールでの設定が完了したら、Web GUIにログインします。

https://KMS_Node_IP

初回のログイン時はデフォルトの"secroot / secroot"でログインします。

 User Name:secroot

Password:secroot

ログイン後はパスワードの変更が求められます。

 以下のように、KMIPのStateを"ENABLED"に変更、Protocolを適切なVersionに変更します。

 "Client Certificates"をクリックし、Actionsから"Create Certificate"を選択します。

 Certificate Nameを入力して、"Create"をクリック

※今回はパスワード無しで設定します

"Download Certificate"をクリックします。

ダウンロードしたファイルを解凍すると、以下の2つのファイルがありますが

今回は、"kmvcert.pem"の方を使用します。

 vCenterにKMSを追加します。

vCenter > 設定 > キー管理サーバ > 追加

必要情報を入力して追加をクリック

"KMSがVCENTER SERVERを信頼するようにします"をクリック

KMS証明書およびプライベートキーをチェックし"次へ"をクリック

ダウンロードして解凍したファイル(kmvcert.pem)をアップロードして、"信頼の確立"をクリックします。

接続状態が"接続済み"になりました

次は、vSANクラスタで暗号化を有効にします。

vSANクラスタ > 設定 > vSAN > サービス > 暗号化 > 編集をクリック

暗号化を有効化して、"適用"をクリックします。

 上記で有効化の手順は完了です。

有効化後、vSANディスクの再フォーマットとディスクグループの再作成が行われます。

手順としては簡単ですが、注意事項として、KMSサーバーはvSANデータストア以外に配置する事が注意事項です。

※KMSサーバーが起動していない状態でESXiホストを再起動するとディスクグループがマウントされません。

[参考]

https://docs.vmware.com/jp/VMware-vSphere/6.7/com.vmware.vsphere.virtualsan.doc/GUID-F3B2714F-3406-48E7-AC2D-3677355C94D3.html

 以上です。