vSAN 加密簡介

如要加密 vSAN 靜態資料，必須使用金鑰管理系統 (KMS)。根據預設，Google Cloud VMware Engine 中 vSAN 資料加密的金鑰管理服務，會使用 Cloud Key Management Service，且不收取額外費用。

您也可以選擇部署外部 KMS，向下列支援的供應商取得 vSAN 待用資料加密服務。本頁面說明 vSAN 加密行為，並摘要說明如何使用外部 KMS 在 VMware Engine 中加密虛擬機器待機資料。

vSAN 資料加密

根據預設，VMware Engine 會為主要叢集和後續新增至私有雲的叢集啟用 vSAN 資料加密。vSAN 靜態資料加密功能會使用資料加密金鑰 (DEK)，加密後儲存在叢集的本機實體磁碟上。DEK 是由 ESXi 主機自動產生的 AES-256 位元加密金鑰，符合 FIPS 140-2 Level 1 標準。系統會使用Google-owned and managed key 供應商提供的金鑰加密金鑰 (KEK) 加密 DEK。

我們強烈建議不要停用靜態資料的 vSAN 加密功能，因為這可能會導致您違反 Google Cloud VMware Engine 的服務專屬條款。在叢集上停用 vSAN 靜態資料加密功能時，VMware Engine 監控邏輯會發出警報。為避免您違反服務條款，這則快訊會觸發 Cloud Customer Care 團隊主導的動作，在受影響的叢集上重新啟用 vSAN 加密功能。

同樣地，如果您設定外部 KMS，我們強烈不建議在 vCenter Server 中刪除 Cloud Key Management Service 的金鑰供應商設定。

預設金鑰供應商

VMware Engine 會在新建立的私有雲中設定 vCenter Server，以連線至 Google-owned and managed key 供應商。VMware Engine 會為每個區域建立一個金鑰供應商執行個體，而金鑰供應商會使用 Cloud KMS 加密 KEK。VMware Engine 會全面管理金鑰供應商，並將其設定為在所有區域都具有高可用性。

Google-owned and managed key 供應商是 vCenter Server (適用於 vSphere 7.0 Update 2 以上版本) 內建金鑰供應商的補充，也是正式環境的建議做法。內建金鑰供應器會在 vCenter Server 中以程序形式執行，而 vCenter Server 則會在 VMware Engine 的 vSphere 叢集中執行。VMware 建議不要使用內建金鑰供應商，加密代管 vCenter Server 的叢集。請改用 Google 代管的預設金鑰供應商或外部 KMS。

金鑰輪替

使用預設金鑰供應商時，您必須負責輪替 KEK。如要在 vSphere 中輪替 KEK，請參閱 VMware 說明文件「產生新的靜態資料加密金鑰」。

如要進一步瞭解如何在 vSphere 中輪替金鑰，請參閱下列 VMware 資源：

• GitHub 上的 PowerCLI 範例指令碼
• vSAN 管理 API

支援的供應商

如要切換使用的 KMS，可以選取符合 KMIP 1.1 規範，且通過 VMware vSAN 認證的第三方 KMS 解決方案。下列供應商已透過 VMware Engine 驗證其 KMS 解決方案，並發布部署指南和支援聲明：

• Thales CipherTrust Manager
• HyTrust KeyControl
• Fortanix Self Defending KMS

如需設定操作說明，請參閱下列文件：

• 使用 Fortanix KMS 設定 vSAN 加密
• 使用 CipherTrust Manager 設定 vSAN 加密
• 使用 HyTrust KeyControl 設定 vSAN 加密

使用支援的供應商

部署外部 KMS 時，每個部署作業都需要執行相同的基本步驟：

• 建立 Google Cloud 專案或使用現有專案。
• 建立新的虛擬私有雲 (VPC) 網路，或選擇現有的虛擬私有雲網路。
• 將所選虛擬私有雲網路連線至 VMware Engine 網路。

接著，在 Compute Engine VM 執行個體中部署 KMS：

1. 設定必要 IAM 權限，部署 Compute Engine VM 執行個體。
2. 在 Compute Engine 中部署 KMS。
3. 在 vCenter 和 KMS 之間建立信任關係。
4. 啟用 vSAN 資料加密。

以下各節將簡要說明使用其中一個支援供應商的程序。

設定 IAM 權限

您必須具備足夠的權限，才能在特定 Google Cloud 專案和虛擬私有雲網路中部署 Compute Engine VM 執行個體、將虛擬私有雲網路連線至 VMware Engine，以及設定虛擬私有雲網路的防火牆規則。

專案擁有者和具有網路管理員角色的 IAM 主體可以建立分配的 IP 範圍，以及管理私人連線。如要進一步瞭解角色，請參閱 Compute Engine IAM 角色。

在 Compute Engine 中部署金鑰管理系統

Google Cloud Marketplace 提供部分 KMS 解決方案的裝置規格。您可以直接在 VPC 網路或專案中匯入 OVA，部署這類裝置。 Google Cloud

如果是軟體型 KMS，請使用 KMS 供應商建議的設定 (vCPU 數量、vMem 和磁碟)，部署 Compute Engine VM 執行個體。在訪客作業系統中安裝 KMS 軟體。在連線至 VMware Engine 網路的虛擬私有雲網路中，建立 Compute Engine VM 執行個體。

在 vCenter 和 KMS 之間建立信任關係

在 Compute Engine 中部署 KMS 後，請設定 VMware Engine vCenter，從 KMS 擷取加密金鑰。

請先將 KMS 連線詳細資料新增至 vCenter。接著，在 vCenter 和 KMS 之間建立信任關係。如要在 vCenter 和 KMS 之間建立信任關係，請執行下列操作：

1. 在 vCenter 中產生憑證。
2. 使用 KMS 產生的權杖或金鑰簽署。
3. 將該憑證提供或上傳至 vCenter。
4. 在 vCenter 伺服器設定頁面中檢查 KMS 設定和狀態，確認連線狀態。

啟用 vSAN 資料加密

在 vCenter 中，預設 CloudOwner 使用者有足夠的權限可啟用及管理 vSAN 資料加密。

如要從外部 KMS 切換回預設Google-owned and managed key 提供者，請按照 VMware 文件「設定及管理標準金鑰提供者」中的步驟，變更金鑰提供者。

後續步驟

• 瞭解 vSAN KMS 連線健康狀態檢查。
• 瞭解 vSAN 7.0 加密。