未解決
1 Rookie
•
7 メッセージ
0
93
2024年9月12日 05:12
VxRail vSAN暗号化 NKPについて
いつも世話になっております。
VxRail vSAN暗号化、キー管理はNKP(vCenter)を使い、使用用途に分けたクラスタを複数構成します。
・vCenter A --Cluster A-1, Cluster B-1と構成でvSAN暗号化をCluster A,Bそれぞれで有効化する場合
NKPは複数のキープロバイダが設定できる事がマニュアルに見受けられましたが
Cluster単位(A, B)それぞれでNKPをセット可能でしょうか?
それともNKPはvCenter単位のため1つのみにすべきでしょうか?
設計次第という事も考えましたが、NKPはクラスタ単位に分けて使用することができない
など制限がないか懸念しておりご教授を頂けますと幸いです。
よろしくお願いします。
イベントは見つかりませんでした!
Uehara Y.
Community Manager
•
5.3K メッセージ
0
2024年9月13日 04:55
vSphere Native Key Provider (NKP) Questions & Answersの37番目のQAである以下を見ると、vCenterごとにデフォルトは一つしか設定できないとあるのでそれぞれでNKPをセットすることはできなさそうです。
Can I have more than one Native Key Provider?
Yes, you can have more than one Native Key Provider instance. However, only one key provider can be set as default.
なお、もしも設定できたとしても、39番目のQA(以下に記載します)を見ると、異なるNKPを設定したクラスタ間ではvMotionができないようなので運用時に注意が必要です。
I have many vCenter Servers. Should I configure them all with different Native Key Provider instances, or should I export one and import it everywhere else?
This is a design decision on your part, but both options are supported. If you want to use Cross-vCenter vMotion to migrate encrypted workloads between clusters you will need the same key provider configured on both the source and the destination. If you choose to configure separate Native Key Provider instances ensure that their names are unique, so that future name collisions do not occur if you restore a backup of an Native Key Provider instance.
NOMUJIN
1 Rookie
•
7 メッセージ
0
2024年9月14日 23:46
@Uehara Y. さん、ご回答いただき大変ありがとうございます。
既存のNKP(すでにvSAN暗号化で使用中)を使用して、新規クラスタのvSAN暗号化を有効化しようとすると、対象ホスト上で有効ではない旨のエラーが表示されました。新たにNKPを追加しアサインするとエラーは発生しませんでした。
NKPの設定「デフォルト設定」はせずにクラスタ事に分割してみたのですが、既存のNKPを使うにはデフォルト設定をすればよかったのでしょうか?
DELL-Naoyuki K
4 Operator
•
1.9K メッセージ
0
2024年9月16日 06:11
@NOMUJIN
私のラボ環境でも試してみました。
単一のVCSA配下に2つのvSAN Cluster を作成し、同じく単一のVCSA配下に作成した二つのNKPのそれぞれに紐づく形で、2つのvSANクラスタで暗号化を有効化しました。
2つのクラスタで問題なく暗号化は可能であり、仮想マシンのクラスタ間移行(Cross Cluster vMotion)も成功しました。
・Cluster1 with NKP1
・Cluster2 with NKP2
その後、Cluster2のNKPをNKP2からNKP1に変更したところ問題なく成功しました。
念のため、Cluster2のvSANを無効化し、改めてNKP1で暗号化しましたが問題なく成功しました。vSAN Cluster間の仮想マシンの移行もできています。
NOMUJIN
1 Rookie
•
7 メッセージ
0
2024年9月17日 03:03
@DELL-Naoyuki K さん 回答頂きありがとうございます。また検証もありがとうございます
ご回答頂いた件で、質問させて頂き恐縮ですが下記ご教授お願い致します。
1)NKPは1つのvCenter配下で管理されている2つのvSANクラスタ環境では
それぞれ別々のNKPを設定する必要があるということでしょうか?
(個別のホストIDを持つので別々に設定が必要)でしょうか?
それとも(運用方針次第で)別々にNKPを設定もできるし、共通NKPとしても
暗号化・VM移行に影響なしの理解が正しいでしょうか?
2)
Cluster1 with NKP1で暗号化 <-> Cluster1 with NKP2で暗号化 間のVM移行は
Cluster 1から2、また2から1の双方向でvMotion(コンピュートとストレージ両方)を
成功することは可能でしょうか?
(双方共通のNKP1の場合、暗号化もVM移行も問題なく成功した旨、理解しました
ありがとうございました。)
3)”Cluster2のNKPをNKP2からNKP1に変更したところ問題なく成功しました”
→確認もありがとうございます!
NKPを変更時は、再度暗号化を行う(無効→有効)にするべきなのですね?
(Diskフォーマットに時間がかかるためにご質問しました)
ご面倒をおかけして申し訳ありません。よろしくお願いします。
DELL-Naoyuki K
4 Operator
•
1.9K メッセージ
0
2024年9月17日 03:42
@NOMUJIN
それぞれ別々のNKPを設定する必要があるということでしょうか?
(個別のホストIDを持つので別々に設定が必要)でしょうか?
それとも(運用方針次第で)別々にNKPを設定もできるし、共通NKPとしても
暗号化・VM移行に影響なしの理解が正しいでしょうか?
別々のNKPでも、共通のNKPでも構成可能でした。
いずれ場合でも暗号化のオペレーションやクラスタ間の仮想マシン以降は問題ありませんでした。
Cluster1 with NKP1で暗号化 <-> Cluster1 with NKP2で暗号化 間のVM移行は
Cluster 1から2、また2から1の双方向でvMotion(コンピュートとストレージ両方)を
成功することは可能でしょうか?
(双方共通のNKP1の場合、暗号化もVM移行も問題なく成功した旨、理解しました
ありがとうございました。)
いずれのシナリオにおいても暗号化もVM移行も可能でした。
→確認もありがとうございます!
NKPを変更時は、再度暗号化を行う(無効→有効)にするべきなのですね?
(Diskフォーマットに時間がかかるためにご質問しました)
無効化を挟まない変更も成功しましたが、より確実な確認のためいったん無効化にしてやり直しました。
kwmt
4 Operator
•
886 メッセージ
1
2024年9月20日 02:30
いくつか Core Tech Zone の解釈含めて補足します。
1つの vCenter Server に複数の NKP を作成することは可能です。ただし、デフォルトとしてマークすることができるのが 1つのみ、となります。NKP を複数作って複数使うことはサポートされますが、運用が複雑になる可能性があります。
異なる NKP を利用した暗号化ワークロードの移行についてですが、Q&A に書かれている「移行時に問題がある」パターンは「暗号化仮想マシン」の場合で、「暗号化 vSAN (NKP1)上の仮想マシンを別の暗号化 vSAN (NKP2) へのvMotion」はサポートされます。「暗号化仮想マシン」を Cross vCenter vMotion する場合は両方の vCenter で同じキーをもたせる必要があります。
※ 暗号化仮想マシンは vTPM の使用も含む
また、金田さんがすでに試されているように、単一 vCenter 配下で同一 NKP を利用して複数の vSAN データストア(vSAN クラスタ)の暗号化もサポートされます。