この投稿は5年以上前のものです
2 Intern
•
162 メッセージ
0
2420
VxRAILでのVSAN暗号化サポート前提について
こんにちは。いつもお世話になります。
VxRAILのVSAN暗号化対応状況について確認させて頂きたく
ご連絡させて頂きました。お手数ですがよろしくお願い致します。
確認事項:VxRail構成時でのVSAN暗号化対応について
前提:vCenterはVxRAILのバンドルvCSAの利用が前提となります。
#新規導入となります。
質問:前提としてすべてのデータは暗号化が必要となります。
VxRAIL上でのVSAN暗号化機能はvSphere同様にサポートされていますでしょうか?
制限はございますでしょうか?
<補足>
確認した所、下記2点の内容掲載がございました。
資料1:Dell EMC VxRail アプライアンス データシート
https://japan.emc.com/collateral/data-sheet/vxrail-datasheet.pdf
-------------------------------------------
セキュリティおよびデータ サービス
VMware vSphere 6.5u1とvSAN 6.6u1ソフトウェアに基づき、VxRailは、
クラスタ レベルでのvSANの暗号化を提供します。
-------------------------------------------
資料2:DELL EMC VxRAIL vCENTER SERVER PLANNING GUIDE
https://www.emc.com/collateral/guide/vxrail-vcenter-server-planning-guide.pdf
P5:vSAN encryption is not supported.
<コメント>
VxRAIL4.5.0リリースノートを確認する限りではWhat's new in VxRail Appliance software 4.5.0
に“Support for vSAN 6.6 encryption when using an external vCenter”と記載がありますので
“ External vCenter構成でのみサポートされる”という理解で問題ないでしょうか。
データシートに特に注釈がなかった為の確認となります。よろしくお願い致します。
DELL-Naoyuki K
4 Operator
4 Operator
•
1.8K メッセージ
1
2018年4月18日 03:00
すでにご確認いただいている通り、外部VCでのみのサポートとなります。
KMSも外部VCやDNSと同様にVxRail上に配置することはできませんのでご留意ください
MAGADEN
2 Intern
2 Intern
•
162 メッセージ
0
2018年4月18日 18:00
Kanedaさん
いつもご回答頂きありがとうございました。
補足も別途頂きましたのでまとめさせていただきます。
vSAN Encryption
・暗号化単位:データストア
・必要なコンポーネント:VxRail+外部vCenter、外部DNS、外部KMS
vSphere Encryptionは、暗号化単位が仮想マシンなのでバンドルのvCSAも利用可能と
なるそうですが、KMSが内部でOKなのか外部必須なのかが確認とれていませんでした。
こちら別途アップデートあり次第更新させて頂きます。
DELL-Naoyuki K
4 Operator
4 Operator
•
1.8K メッセージ
1
2018年4月18日 20:00
MAGADENさん
ご返信ありがとうございます。
vSphere EncryptionのKMSの外部・内部について私も確認していたのですが、VSANやHAクラスタ内への構築を制限する記載は見当たらず、仕組み上もKMS,VCSA,ESXiの鍵の受け渡しが可能であれば問題ないはずですので、KMSがクラスタ内部にあっても問題ないという認識です。
上記の制限がありますので、VCSA、PSC、KMSのVMは暗号化することができません。
クラスタのOff/Onを実施する際はVCとKMSが起動しないと暗号化されたVMを起動することはできません
その他VADP(SAN mode)によるバックアップができないなどの制限もありますので、VMware DocにあるBestPracticeやCaveatをじっくり読む必要がありそうです。
また重複排除・圧縮を利用している場合、vsphere encryptionを使うと重複排除が効きにくくなります。
DELL-Naoyuki K
4 Operator
4 Operator
•
1.8K メッセージ
0
2018年4月19日 02:00
VxRail Manager VMについては、本来vSphere encryptionの仕組み上に存在しないものなので、その観点でいえば暗号化しても問題ないです。
VxRail としてもVSAN関連の管理はVxRail Managerに依存しておらずVxRail Managerがなくとも正常に稼働を継続できます。
ただし、もしKMSの不具合起因でVxRail Mangerが起動できない状態になると、現行唯一のサポートされたClusterシャットダウン手順が使用できなくなりますね。
そういう意味ではVxRail Managerは暗号化しないほうがいいと思います。
(暗号化するメリットもないでしょうし。。。)
万一KMSのトラブル起因で、暗号化されたVxRail Managerが使用できなくなったとしてもファイルベースバックアップを取得していれば新規VMとして再構築できますが、時間もかかり面倒ですね。。
MAGADEN
2 Intern
2 Intern
•
162 メッセージ
0
2018年4月19日 02:00
Kanedaさん
ご連絡ありがとうございます。
KMSが内部でも動作的には問題なさそうという事でご連絡頂きありがとうございました。
VCSA,PSC,KMSは暗号化不可制限は確かにそうですね。
またVxRAILの構成ではVxRAIL Managerについての言及も聞かれると思われますが、
こちらも暗号化不可と考えておいた方がいいでしょうか?
6.5からの新しい機能ですが、アプライアンスとしての動作に支障がでる構成なので
KB等ございましたらご案内頂けますと助かります。
MAGADEN
2 Intern
2 Intern
•
162 メッセージ
0
2018年4月19日 17:00
kanedaさん
ご回答頂きありがとうございます。
VxRAIL Managerは暗号化可能だが非推奨という事で理解いたしました。
有益な情報ありがとうございました。
MAGADEN
2 Intern
2 Intern
•
162 メッセージ
0
2018年4月22日 17:00
本件、参考情報ございましたので補足させて頂きます。
結論として、vSphere Encryptionの場合、KMSはクラスタ内に
構成可能という回答が頂けました。
VxRailとしてvSAN EncryptionとvSphere Encryptionが使用可能である旨は、
以下の資料【P15 VXRAIL ENCRYPTION】の章に記載がありました。
DELL EMC VXRAIL APPLIANCES COMPREHENSIVE SECURITY BY DESIGN
http://www.emc.com/collateral/white-papers/vxrail-comprehensive-security-design.pdf
#2018/04リリースの新しい資料です。
P16に”FIPS 140-2 validated”の記載も確認できました。
上記資料のP16中ほどに、「It’s important to remember the KMS should be run physically separate from the elements that it encrypts. 」という記載もあることから、vSphere EncryptionであってもKMSは外建てが推奨となります。
DELL-Naoyuki K
4 Operator
4 Operator
•
1.8K メッセージ
0
2018年4月22日 17:00
ご共有ありがとうございます。
勉強になりました。
DELL-Naoyuki K
4 Operator
4 Operator
•
1.8K メッセージ
1
2018年5月22日 23:00
MAGADENさん
vSAN encryptionについてですが、VxRail 4.5.200以降ではInternal VCSAでも使用可能になったようです。
詳細はvxrail vcenter planning guideに記載があります。
ちなみに外部VCのVxRail内への配置も可能になっていました。
MAGADEN
2 Intern
2 Intern
•
162 メッセージ
0
2018年5月22日 23:00
Naoyuki Kanedaさん
vSAN encryptionでの情報Updateありがとうございます。参考になりました。