使用 Entrust KeyControl 和 VMware vSphere ® 以及 Oracle Cloud VMware 解决方案对虚拟机进行加密

简介

本教程概述了如何将 Entrust KeyControl 5.4 解决方案与 Oracle Cloud VMware 解决方案软件定义的数据中心 (SDDC) 集群结合使用。本教程的重点在于提供可用选项并重点介绍将 Entrust KeyControl 与 Oracle Cloud VMware 解决方案结合使用的所需“方法”步骤。

Oracle 和 VMware 开发了一个经充分认证且受支持的 SDDC 解决方案，称为 Oracle Cloud VMware 解决方案。此解决方案使用 Oracle Cloud Infrastructure (OCI) 来托管高可用性 VMware SDDC。还允许将内部部署 VMware SDDC 负载无缝迁移到 Oracle Cloud Infrastructure。

为什么要进行 VM 加密？

要充分释放虚拟化的所有优势，必须具备专为保护虚拟化环境而设计的安全态势。加密 VM 可提供高级别的安全性，帮助您确保关键数据的安全性。

先决条件

部署 Entrust KeyControl v5.4 集群
使用运行 VMware vSphere ® 7.x 或更高版本的 VMware vCenter Server ® 和 ESXi 主机配置 Oracle Cloud VMware 解决方案 SDDC
在 Entrust KeyControl 和 VMware vCenter Server 之间设置可信连接
关闭要加密的 VM 或 VM

目标

使用 Oracle Cloud VMware 解决方案使用 Entrust KeyControl 和 VMware vSphere ® 加密策略对虚拟机进行加密

任务 1：选择要加密的 VM

登录到 Oracle Cloud VMware 解决方案虚拟中心设备 (Virtual Center Appliance，VCSA)。
右键单击 VM 并选择 VM 策略，然后单击编辑 VM 存储策略。
注：
- 此时将显示 VM 存储策略下拉列表。
- 按照任务 2：加密整个 VM 或加密特定的 VMware 虚拟机磁盘文件 (VMDK) 中描述的相关步骤操作，具体取决于是要加密整个 VM 还是加密特定的 VMDK。

任务 2：对整个 VM 进行加密或对特定的 VMDK 进行加密

确保 VM 已关闭电源，并按照本节中介绍的相关步骤操作，具体取决于是要加密整个 VM 还是要加密特定的 VMDK。

加密整个 VM

从 VM 存储策略下拉列表中选择 VM 加密策略，然后单击确定。
注：
- 在此阶段，VMware vCenter 从 Entrust KeyControl 请求加密密钥，并将其提供给分配了 VM 的 ESX 主机。此密钥称为密钥加密密钥 (Key Encryption Key，KK)。
- ESX 主机创建数据加密密钥 (Data Encryption Key，DEK)，并使用 KEK 包装 DEK 来保护它。
- 然后，ESX 主机开始对其进行加密。

加密特定的 VMDK

启用 Configure per disk 选项。启用按 VMDK 选择时颜色将变为绿色。
对于要加密的每个 VMDK，从 VM 存储策略下拉列表中选择 VM 加密策略。
对于 VM 主目录，从 VM 存储策略下拉列表中选择 VM 加密策略。

注：如果没有为 VM 主目录选择相同的策略，将无法通过此步骤。
为每个 VMDK 和 VM 主目录选择 VM 加密策略后，单击确定。
注：
- 在此阶段，VMware vCenter 从 KeyControl 请求加密密钥，并将其提供给分配了 VM 的 ESX 主机。此密钥称为密钥加密密钥 (Key Encryption Key，KK)。
- ESX 主机创建数据加密密钥 (Data Encryption Key，DEK)，并使用 KEK 包装 DEK 来保护它。
- 然后，ESX 主机开始对其进行加密。

后续步骤

VM 加密完成后，将显示 VM 的加密状态：Encrypted with standard key provider（使用标准密钥提供程序加密）。

ENCRYPT 独立 VMDK

确认

作者 - Eran Maor（首席云解决方案架构师）