Highlighted
MAGADEN
2 Iron

VxRAILでのVSAN暗号化サポート前提について

解決策を見る

こんにちは。いつもお世話になります。


VxRAILのVSAN暗号化対応状況について確認させて頂きたく

ご連絡させて頂きました。お手数ですがよろしくお願い致します。


確認事項:VxRail構成時でのVSAN暗号化対応について


前提:vCenterはVxRAILのバンドルvCSAの利用が前提となります。

       #新規導入となります。


質問:前提としてすべてのデータは暗号化が必要となります。

   VxRAIL上でのVSAN暗号化機能はvSphere同様にサポートされていますでしょうか?

   制限はございますでしょうか?


<補足>

確認した所、下記2点の内容掲載がございました。

資料1:Dell EMC VxRail アプライアンス データシート

    https://japan.emc.com/collateral/data-sheet/vxrail-datasheet.pdf

   -------------------------------------------

   セキュリティおよびデータ サービス

   VMware vSphere 6.5u1とvSAN 6.6u1ソフトウェアに基づき、VxRailは、

   クラスタ レベルでのvSANの暗号化を提供します。

   -------------------------------------------


資料2:DELL EMC VxRAIL vCENTER SERVER PLANNING GUIDE

    https://www.emc.com/collateral/guide/vxrail-vcenter-server-planning-guide.pdf

    P5:vSAN encryption is not supported.


<コメント>

 VxRAIL4.5.0リリースノートを確認する限りではWhat's new in VxRail Appliance software 4.5.0

 に“Support for vSAN 6.6 encryption when using an external vCenter”と記載がありますので

 “ External vCenter構成でのみサポートされる”という理解で問題ないでしょうか。

 データシートに特に注釈がなかった為の確認となります。よろしくお願い致します。

ラベル(1)
タグ(3)
0 件の賞賛
1 件の受理された解決策

受理された解決策
naoyuki_kaneda
3 Argentium

Re: VxRAILでのVSAN暗号化サポート前提について

解決策を見る

すでにご確認いただいている通り、外部VCでのみのサポートとなります。

KMSも外部VCやDNSと同様にVxRail上に配置することはできませんのでご留意ください






==== 自動追記 ====
投稿内容はすべて筆者個人としての投稿であり所属団体とは無関係です
10件の返信10
naoyuki_kaneda
3 Argentium

Re: VxRAILでのVSAN暗号化サポート前提について

解決策を見る

すでにご確認いただいている通り、外部VCでのみのサポートとなります。

KMSも外部VCやDNSと同様にVxRail上に配置することはできませんのでご留意ください






==== 自動追記 ====
投稿内容はすべて筆者個人としての投稿であり所属団体とは無関係です
MAGADEN
2 Iron

Re: VxRAILでのVSAN暗号化サポート前提について

解決策を見る

Kanedaさん

いつもご回答頂きありがとうございました。

補足も別途頂きましたのでまとめさせていただきます。

vSAN Encryption

・暗号化単位:データストア

・必要なコンポーネント:VxRail+外部vCenter、外部DNS、外部KMS

vSphere Encryptionは、暗号化単位が仮想マシンなのでバンドルのvCSAも利用可能と

なるそうですが、KMSが内部でOKなのか外部必須なのかが確認とれていませんでした。

こちら別途アップデートあり次第更新させて頂きます。

 

0 件の賞賛
naoyuki_kaneda
3 Argentium

Re: VxRAILでのVSAN暗号化サポート前提について

解決策を見る

MAGADENさん

ご返信ありがとうございます。

vSphere EncryptionのKMSの外部・内部について私も確認していたのですが、VSANやHAクラスタ内への構築を制限する記載は見当たらず、仕組み上もKMS,VCSA,ESXiの鍵の受け渡しが可能であれば問題ないはずですので、KMSがクラスタ内部にあっても問題ないという認識です。

上記の制限がありますので、VCSA、PSC、KMSのVMは暗号化することができません。

クラスタのOff/Onを実施する際はVCとKMSが起動しないと暗号化されたVMを起動することはできません

その他VADP(SAN mode)によるバックアップができないなどの制限もありますので、VMware DocにあるBestPracticeやCaveatをじっくり読む必要がありそうです。

また重複排除・圧縮を利用している場合、vsphere encryptionを使うと重複排除が効きにくくなります。








==== 自動追記 ====
投稿内容はすべて筆者個人としての投稿であり所属団体とは無関係です
MAGADEN
2 Iron

Re: VxRAILでのVSAN暗号化サポート前提について

解決策を見る

Kanedaさん

ご連絡ありがとうございます。

KMSが内部でも動作的には問題なさそうという事でご連絡頂きありがとうございました。

VCSA,PSC,KMSは暗号化不可制限は確かにそうですね。

またVxRAILの構成ではVxRAIL  Managerについての言及も聞かれると思われますが、

こちらも暗号化不可と考えておいた方がいいでしょうか?

6.5からの新しい機能ですが、アプライアンスとしての動作に支障がでる構成なので

KB等ございましたらご案内頂けますと助かります。

0 件の賞賛
naoyuki_kaneda
3 Argentium

Re: VxRAILでのVSAN暗号化サポート前提について

解決策を見る

VxRail Manager VMについては、本来vSphere encryptionの仕組み上に存在しないものなので、その観点でいえば暗号化しても問題ないです。

VxRail としてもVSAN関連の管理はVxRail Managerに依存しておらずVxRail Managerがなくとも正常に稼働を継続できます。

ただし、もしKMSの不具合起因でVxRail Mangerが起動できない状態になると、現行唯一のサポートされたClusterシャットダウン手順が使用できなくなりますね。

そういう意味ではVxRail Managerは暗号化しないほうがいいと思います。

(暗号化するメリットもないでしょうし。。。)

万一KMSのトラブル起因で、暗号化されたVxRail Managerが使用できなくなったとしてもファイルベースバックアップを取得していれば新規VMとして再構築できますが、時間もかかり面倒ですね。。






==== 自動追記 ====
投稿内容はすべて筆者個人としての投稿であり所属団体とは無関係です
0 件の賞賛
MAGADEN
2 Iron

Re: VxRAILでのVSAN暗号化サポート前提について

解決策を見る

kanedaさん

ご回答頂きありがとうございます。

VxRAIL Managerは暗号化可能だが非推奨という事で理解いたしました。

有益な情報ありがとうございました。

0 件の賞賛
MAGADEN
2 Iron

Re: VxRAILでのVSAN暗号化サポート前提について

解決策を見る

本件、参考情報ございましたので補足させて頂きます。


結論として、vSphere Encryptionの場合、KMSはクラスタ内に

構成可能という回答が頂けました。


VxRailとしてvSAN EncryptionとvSphere Encryptionが使用可能である旨は、

以下の資料【P15  VXRAIL  ENCRYPTION】の章に記載がありました。


DELL EMC VXRAIL APPLIANCES COMPREHENSIVE SECURITY BY DESIGN

http://www.emc.com/collateral/white-papers/vxrail-comprehensive-security-design.pdf

#2018/04リリースの新しい資料です。

P16に”FIPS 140-2 validated”の記載も確認できました。


上記資料のP16中ほどに、「It’s important to remember the KMS should be run physically separate from the elements that it encrypts. 」という記載もあることから、vSphere EncryptionであってもKMSは外建てが推奨となります。

0 件の賞賛
naoyuki_kaneda
3 Argentium

Re: VxRAILでのVSAN暗号化サポート前提について

解決策を見る

ご共有ありがとうございます。

勉強になりました。






==== 自動追記 ====
投稿内容はすべて筆者個人としての投稿であり所属団体とは無関係です
0 件の賞賛
naoyuki_kaneda
3 Argentium

Re: VxRAILでのVSAN暗号化サポート前提について

解決策を見る

MAGADENさん

vSAN encryptionについてですが、VxRail 4.5.200以降ではInternal VCSAでも使用可能になったようです。
詳細はvxrail vcenter planning guideに記載があります。

ちなみに外部VCのVxRail内への配置も可能になっていました。






==== 自動追記 ====
投稿内容はすべて筆者個人としての投稿であり所属団体とは無関係です