vSAN 加密簡介

如要加密 vSAN 靜態資料，必須使用金鑰管理系統 (KMS)。根據預設，Google Cloud VMware Engine 中的 vSAN 資料加密金鑰管理功能會使用 Cloud Key Management Service，且不收取額外費用。

您可以部署外部 KMS，向下列支援的供應商取得靜態 vSAN 資料的加密金鑰。本頁面說明 vSAN 加密行為，並摘要說明如何使用外部 KMS，在 VMware Engine 中加密虛擬機器靜態資料。

如果您使用第三方 KMS 解決方案，必須提供必要授權。

vSAN 資料加密

根據預設，VMware Engine 會為主要叢集和後續新增至私有雲的叢集啟用 vSAN 資料加密。vSAN 靜態資料加密功能會使用資料加密金鑰 (DEK)，在加密後儲存在叢集的本機實體磁碟上。ESXi 主機會自動產生 DEK，這是符合 FIPS 140-2 第 1 級標準的 AES-256 位元加密金鑰。由Google-owned and managed key 供應商提供的金鑰加密金鑰 (KEK) 會加密 DEK。

Google 強烈建議您不要停用靜態資料的 vSAN 加密功能，否則可能會違反 Google Cloud VMware Engine 的服務專屬條款。如果您在叢集上停用 vSAN 靜態資料加密功能，VMware Engine 監控邏輯會發出警報。為避免您違反服務條款，這則快訊會觸發 Cloud Customer Care 驅動的動作，在受影響的叢集上重新啟用 vSAN 加密。

同樣地，如果您設定外部 KMS，Google 強烈建議您不要在 vCenter Server 中刪除 Cloud Key Management Service 的金鑰供應商設定。

預設金鑰供應商

VMware Engine 會在新私有雲中設定 vCenter Server，以連線至 Google-owned and managed key 供應商。VMware Engine 會為每個區域建立一個金鑰供應商執行個體，而金鑰供應商會使用 Cloud KMS 加密 KEK。VMware Engine 會全面管理金鑰供應商，並將其設定為在所有區域都具有高可用性。

Google-owned and managed key 供應商是 vCenter Server (適用於 vSphere 7.0 Update 2 以上版本) 內建金鑰供應商的補充，也是正式環境的建議做法。內建金鑰供應器會在 vCenter Server 中以程序形式執行，而 vCenter Server 則會在 VMware Engine 的 vSphere 叢集中執行。VMware 建議不要使用內建金鑰供應商，加密代管 vCenter Server 的叢集。請改用 Google 代管的預設金鑰供應商或外部 KMS。

金鑰輪替

使用預設金鑰供應器時，您必須負責輪替 KEK。如要在 vSphere 中輪替 KEK，請參閱 VMware 說明文件「產生新的待機資料加密金鑰」。

如要進一步瞭解如何在 vSphere 中輪替金鑰，請參閱下列 VMware 資源：

• vSAN 管理 API

加密虛擬機器的需求條件

您可以透過預設Google-owned and managed key 供應商或 Cloud Key Management Service，管理 VM 的加密金鑰。

如果您為私有雲中的任何 VM 啟用 VM 加密 (或 vTPM)，並使用 KMS 管理加密金鑰，則在輪替 KMS 金鑰後，必須重新加密 (淺層重新產生金鑰) 每個 VM。

淺層換鎖只會替換金鑰加密金鑰 (KEK)，不會變更 VM 的資料加密金鑰 (DEK)。您通常會在 vSphere Client 中使用「重新加密」動作，觸發淺層換鎖。

在這項作業期間，系統會使用新的 KEK 重新包裝 (重新加密) 現有 DEK。這個程序速度很快，因為不會重寫磁碟上的實際資料，只會更新包含加密 DEK 的小型金鑰套件。詳情請參閱下列 VMware 說明文件：

• 產生新的加密金鑰
• 虛擬機器重新加密

無法重新設定加密 VM 金鑰的風險

如果您在刪除輪替 (舊) KMS 金鑰版本前，未重新設定加密 VM 的金鑰，可能會導致下列問題：

• vMotion 失敗：如果您在 KMS 金鑰輪替後，但在執行 VM 換鎖前，重新啟動目的地主機或將目的地主機新增至叢集，ESXi 主機就無法在 vMotion 期間解密 VM DEK。
• 無法啟動：如果主機重新啟動或清除本機金鑰快取，就無法從 KMS 重新取得金鑰。如果您從 KMS 刪除必要金鑰，主機就無法解密 DEK，導致加密 VM 無法啟動。

對工作負載 VM 執行換鎖作業的步驟

1. 在 vSphere Client 中，以滑鼠右鍵按一下 VM。
2. 依序選取「VM Policies」>「Re-encrypt」。
3. 在隨即顯示的對話方塊中，確認重新加密要求。
4. 等待工作完成。
5. 將 VM 遷移至您重新啟動或新增至叢集的主機，確認換鎖是否成功。

支援的供應商

如要切換使用中的 KMS，您可以選取符合 KMIP 1.1 規範，且通過 VMware vSAN 認證的第三方 KMS 解決方案。下列供應商已透過 VMware Engine 驗證 KMS 解決方案，並發布部署指南和支援聲明：

• Thales CipherTrust Manager
• HyTrust KeyControl
• Fortanix Self Defending KMS

如需設定操作說明，請參閱下列文件：

• 使用 Fortanix KMS 設定 vSAN 加密
• 使用 CipherTrust Manager 設定 vSAN 加密
• 使用 HyTrust KeyControl 設定 vSAN 加密

使用支援的供應商

部署外部 KMS 時，每個部署作業都需要執行相同的基本步驟：

• 建立 Google Cloud 專案或使用現有專案。
• 建立新的虛擬私有雲網路 (VPC 網路)，或選擇現有的 VPC 網路。
• 將所選虛擬私有雲網路連線至 VMware Engine 網路。

接著，在 Compute Engine VM 執行個體中部署 KMS：

1. 設定必要 IAM 權限，部署 Compute Engine VM 執行個體。
2. 在 Compute Engine 中部署 KMS。
3. 在 vCenter 和 KMS 之間建立信任關係。
4. 啟用 vSAN 資料加密。

以下各節將簡要說明使用其中一個支援供應商的程序。

設定 IAM 權限

您必須具備足夠的權限，才能在特定 Google Cloud 專案和虛擬私有雲網路中部署 Compute Engine VM 執行個體、將虛擬私有雲網路連線至 VMware Engine，以及設定虛擬私有雲網路的防火牆規則。

專案擁有者和具有網路管理員角色的 IAM 主體可以建立分配的 IP 範圍，以及管理私人連線。如要進一步瞭解角色，請參閱 Compute Engine IAM 角色。

在 Compute Engine 中部署金鑰管理系統

Google Cloud Marketplace 提供部分 KMS 解決方案的設備外型規格。您可以直接在虛擬私有雲網路或專案中匯入 OVA，部署這些設備。 Google Cloud

如果是軟體型 KMS，請使用 KMS 供應商建議的設定 (vCPU 數量、vMem 和磁碟)，部署 Compute Engine VM 執行個體。在訪客作業系統中安裝 KMS 軟體。在連線至 VMware Engine 網路的虛擬私有雲網路中，建立 Compute Engine VM 執行個體。

在 vCenter 和 KMS 之間建立信任關係

在 Compute Engine 中部署 KMS 後，請設定 VMware Engine vCenter，從 KMS 擷取加密金鑰。

如要擷取加密金鑰，請按照下列步驟在 vCenter 和 KMS 之間建立信任關係：

1. 在 vCenter 中產生憑證。
2. 使用 KMS 產生的權杖或金鑰簽署憑證。
3. 將簽署的憑證上傳至 vCenter。
4. 在 vCenter Server 設定頁面中，確認連線狀態。

啟用 vSAN 資料加密

在 vCenter 中，預設 CloudOwner 使用者有足夠的權限可啟用及管理 vSAN 資料加密。

如要從外部 KMS 切換回預設Google-owned and managed key 提供者，請按照 VMware 文件「設定及管理標準金鑰提供者」中的步驟，變更金鑰提供者。

後續步驟

• 瞭解 vSAN KMS 連線健康狀態檢查。
• 瞭解 vSAN 7.0 加密。