ノート:

このチュートリアルではOracle Cloudへのアクセスが必要です。無料アカウントにサインアップするには、Oracle Cloud Infrastructure Free Tierの開始を参照してください。
Oracle Cloud Infrastructureの資格証明、テナンシおよびコンパートメントの値の例を使用します。演習を完了するときは、これらの値をクラウド環境に固有の値に置き換えます。

Entrust KeyControlをOracle Cloud VMwareソリューションとのVMware vSphere 7のキー・プロバイダとして追加

イントロダクション

このチュートリアルでは、Oracle Cloud VMware Solutionソフトウェア定義データ・センター(SDDC)クラスタでVMware vSphere 7のキー・プロバイダとしてEntrust KeyControl 5.4ソリューションを構成する方法の運用概要を示します。このチュートリアルの焦点は、使用可能な構成を提供し、Entrust KeyControlをOracle Cloud VMwareソリューションで使用するために必要な「ハウツー」ステップを強調することです。

vSphereでは、標準キー・プロバイダはキー・サーバーから暗号化キーを直接取得し、vCenterサーバーは、データ・センター内の必要なESXiホストにキーを配布します。

VMware vSphere環境で標準キープロバイダを使用するには、いくつかの準備が必要です。環境を設定したら、暗号化された仮想マシンおよび仮想ディスクを作成し、既存の仮想マシンおよびディスクも暗号化できます。

前提条件

Oracle Cloud VMwareソリューションのデプロイメント。
Oracle Cloud VMwareソリューション上で実行されているEntrust KeyControl 5.xデプロイメント。
キーサーバーが VMware Compatibility Guide for Key Management Server (KMS)にあり、キー管理相互運用性プロトコル(KMIP) 1.1に準拠し、対称鍵基盤およびサーバーになることができることを確認します。
必要な権限(暗号化操作およびキー・サーバーの管理)があることを確認します。
キー・サーバーが高可用性であることを確認します。電源停止中や障害回復イベント中など、キーサーバーへの接続が失われたため、暗号化された仮想マシンにアクセスできなくなります。

目標

Entrust KeyControl KMSソリューションをOracle Cloud VMware Solution vCenter Key Providerとしてリンクし、VM暗号化を有効にします。

タスク1: Entrust KeyControlでのKMIPサーバーの有効化

デプロイ済のEntrust KeyControlクラスタにログインし、KMIPメニュー項目をクリックします。
KMIPサーバー設定画面で、次のKMIPサーバー設定を更新する必要があります。

2.1.「状態」フィールドで、「有効」を選択します。

2.2 「プロトコル」フィールドで、「バージョン1.1」を選択します。

ノート: VMwareは、キープロバイダ用のKMIPバージョン1.1をサポートしています。
「適用」をクリックします。
Overwrite all existing KMIP Server settingsのダイアログが表示されます。「続行」をクリックします。

タスク2: クライアント証明書の作成

Entrust KeyControlと VMware vCenterの間の通信は、証明書を介して行われます。そのため、プロセスの次のステップは、クライアント証明書を作成することです。

「クライアント証明書」をクリックします。
「アクション」をクリックし、「証明書の作成」をクリックします。
「証明書名」フィールドに証明書の名前を入力します。失効日は調整できます。
重要:
- 証明書のパスワードを追加しないでください。パスワードを追加すると、VMware vCenterが証明書をインポートできなくなります。このようなダイアログでパスワードを自動的に入力する権限を持つパスワード・マネージャを使用する場合は、「作成」ボタンをクリックします。
「作成」をクリックします。
WebUIに新しい証明書が表示されます。証明書をクリックし、青色の「アクション」ボタンをクリックして「証明書のダウンロード」を選択します。

ノート: zipファイルがシステムにダウンロードされます。ファイルの内容を解凍し、場所をメモします。タスク4に証明書ファイルが必要です。

タスク3: キー・プロバイダの追加

Oracle Cloud VMwareソリューションvCenterにログインします。
vCenterの名前をクリックします。
「構成」をクリックします。
「セキュリティ」セクションの「キー・プロバイダ」をクリックします。
「Standard Key Providerの追加」をクリックします。
キー・プロバイダの名前を入力します。これは単なる参照名です。Entrust KeyControlで使用する名前と一致する必要はありません。
KMSサーバーの名前と、最初のEntrust KeyControlノードのIPアドレスまたはFQDNを入力します。通常、KMSサーバーの名前を、追加するノードのホスト名と一致させることをお勧めします。「KMSの追加」をクリックして、2番目のKeyControlノードを追加します。
重要:
- 「パスワード保護」セクションを展開し、パスワード・フィールドが空白であることを確認します。
- このようなダイアログでパスワードを自動的に入力する権限を持つパスワード・マネージャを使用する場合は、「パスワード保護」セクションを展開して、「キー・プロバイダの追加」ボタンをクリックしたBEFOREでパスワード・マネージャが自動的に入力したパスワード・フィールドをクリアする必要があります。
準備ができたら、「キー・プロバイダの追加」をクリックします。
「信頼」をクリックします。
「Key Provider」の横にあるラジオ・ボタンを選択します。これにより、キー管理サーバーがリストされます。

タスク4: クライアント証明書を使用してEntrust KeyControlクラスタ間の信頼を確立する

いずれかのKMSサーバーをクリックし、「信頼の確立」をクリックします。
「KMSを信頼する vCenter」を選択します。
「KMS証明書および秘密キー」をクリックし、「次」をクリックします。
「KMS Certificate」の「Upload a File」ボタンをクリックします。
- タスク2でクライアント証明書zipファイルの内容を解凍した場所に移動します。2つの.pemファイルが表示されます。cacert.pemファイルは無視できます。2番目の.pemファイルを選択し、「OK」をクリックします。
KMS秘密キーの最後のステップを繰り返し、「信頼の確立」をクリックします。
この時点で、前のステップのすべての黄色の三角形にチェックマークが付いた緑色の円が表示されます。

ノート: 詳細を表示するには、KMSサーバーのエントリのいずれかを展開します。

次のステップ

標準の鍵プロバイダに環境を設定したら、VMware vSphereクライアントを使用して次のことを実行できます。

暗号化された仮想マシンおよび仮想ディスクを作成します。
既存の仮想マシンおよびディスクを暗号化します。

承認

著者 - Eran Maor (Principal Cloud Solution Architect)

その他の学習リソース

他のラボをdocs.oracle.com/learnで探すか、Oracle Learning YouTubeチャネルでより無料の学習コンテンツにアクセスします。また、education.oracle.com/learning-explorerにアクセスしてOracle Learning Explorerになります。

製品のドキュメントは、Oracle Help Centerを参照してください。

タイトルおよび著作権情報

Add Entrust KeyControl as a key provider for VMware vSphere 7 with Oracle Cloud VMware Solution

F58756-01

June 2022