Activation du chiffrement des machines virtuelles (VM Encryption)
Découvrez comment mettre en oeuvre le chiffrement de vos machines virtuelles
Découvrez comment mettre en oeuvre le chiffrement de vos machines virtuelles
Dernière mise à jour le 18/11/2020
Ce guide a pour objectif d'expliquer les détails de la mise en oeuvre de VM Encryption sur l'offre Managed Bare Metal de OVHcloud, en employant une stratégie de stockage utilisant un serveur de clé (Key Management Server ou KMS) externe.
Découvrez comment mettre en oeuvre le chiffrement de vos machines virtuelles avec VM Encryption.
Suivant votre KMS, vous pouvez vous connecter au serveur à l'aide de votre navigateur. Cliquez ensuite sur View Certificate
, puis sur Thumbprint
.
Extrayez ensuite la valeur de ligne SHA1 Fingerprint
.
Voici une autre méthode avec OpenSSL :
openssl s_client -connect 192.0.2.1:5696 < /dev/null 2>/dev/null | openssl x509 -fingerprint -noout -in /dev/stdin
Ici, il s'agit de la valeur à droite du signe égal :
> SHA1 Fingerprint=7B:D9:46:BE:0C:1E:B0:27:CE:33:B5:2E:22:0F:00:84:F9:18:C6:61
Dans votre espace client, assurez-vous de vous situer dans la section Bare Metal Cloud
. Cliquez sur Managed Bare Metal
dans la barre de services à gauche, puis sélectionnez le service Managed Bare Metal concerné.
Depuis la page principale du service, cliquez sur Sécurité
.
Plus bas dans la page se trouve la section « Virtual Machine Encryption Key Management Servers ». Cliquez sur le bouton Ajouter un nouveau serveur KMS
.
Dans la nouvelle fenêtre qui s'affiche, saisissez les informations suivantes :
Validez la prise en compte de cette documentation, puis validez en cliquant sur Suivant
.
Une fenêtre affiche la progression de la tâche.
Les fonctions de chiffrement peuvent être activées grâce à l'API OVHcloud.
Pour récupérer votre « serviceName », utilisez l'appel API suivant :
Pour vérifier que le chiffrement n'est pas encore activé, effectuez cet appel API :
> "state": "disabled"
Effectuez ensuite l'enregistrement du KMS :
Pour réaliser cette manipulation, munissez-vous des informations suivantes :
Le vCenter Server crée un cluster KMS lorsque vous ajoutez votre première instance KMS.
Initiez la manipulation en vous connectant à votre Managed Bare Metal avec le client web vSphere. Parcourez ensuite votre liste d'inventaire et sélectionnez le vCenter concerné. Positionnez-vous sur « Gérer », puis sur « Key Management Servers ». Cliquez sur Ajouter KMS
, spécifiez les informations KMS dans l'assistant qui s'affiche, puis cliquez sur Ok
.
Validez le certificat en cliquant sur Trust
.
Choisissez les options suivantes :
Nom de l'option | Description |
---|---|
« KMS cluster » | Sélectionnez « Créer nouveau cluster » pour en obtenir un nouveau. Si un cluster existe déjà, vous pouvez le sélectionner. |
« Cluster name » | Nom du cluster KMS. Vous pourriez avoir besoin de ce nom pour vous connecter au KMS si votre vCenter devient indisponible. Le nom de la grappe est très important pour être unique et garder une note de ce même élément. |
« Server alias » | Alias pour le KMS. Vous pourriez avoir besoin de cet alias pour vous connecter au KMS si votre vCenter devient indisponible. |
« Server address » | Adresse IP ou FQDN du KMS. |
« Server port » | Port sur lequel le serveur vCenter se connecte au KMS. Le port standard KMIP est 5696. Il peut varier si le KMS d'un autre fournisseur est configuré sur un port spécifique. |
« Proxy address » | Laisser ce champ vide. |
« Proxy port » | Laisser ce champ vide. |
« User name » | Certains fournisseurs de KMS permettent aux utilisateurs d'isoler les clés de chiffrement utilisées par différents utilisateurs ou groupes en spécifiant un nom d'utilisateur et un mot de passe. Spécifiez un nom d'utilisateur uniquement si votre KMS prend en charge cette fonctionnalité et si vous avez l'intention de l'utiliser. |
« Password » | Certains fournisseurs de KMS permettent aux utilisateurs d'isoler les clés de chiffrement utilisées par différents utilisateurs ou groupes en spécifiant un nom d'utilisateur et un mot de passe. Spécifiez un mot de passe uniquement si votre KMS prend en charge cette fonctionnalité et si vous avez l'intention de l'utiliser. |
La plupart des fournisseurs de KMS ont besoin d'un certificat pour établir une connexion sécurisée avec le vCenter.
Depuis le vCenter où vous avez ajouté le serveur KMS, sélectionnez celui-ci. Dans « Toutes les options », cliquez sur Établir un lien de confiance avec KMS
.
Assurez-vous que le certificat n'est pas chiffré avec un mot de passe lorsque vous le téléchargez à partir du KMS. Par exemple, si vous créez un utilisateur, créez-en un sans mot de passe et téléchargez le certificat pour l'utilisateur KMS.
Vérifiez que le « Connection Status » correspondant au KMS est en mode « Normal ».
Créez une machine virtuelle. Une fois celle-ci créée, effectuez un clic droit sur celle-ci. Cliquez alors sur VM Policies
, puis sur Edit VM Storage Policies
.
Sélectionnez les fichiers de la machine virtuelle et les autres disques durs qui doivent être chiffrés.
Assurez-vous que les tâches se sont effectuées sans erreur.
Si le KMS n'est pas configuré correctement et qu'il y a des dysfonctionnements avec l'échange de clés entre vCenter et KMS, il y aura une erreur « RuntimeFault » dans la tâche comportant le message d'erreur « Cannot generate key ».
Concernant le vMotion, le chiffrement fonctionne au niveau de la machine virtuelle. Pour la synchronisation, des clés de cryptage de 256 bits sont utilisées.
Le chiffrement du trafic vMotion fonctionne au niveau du noyau de la machine virtuelle avec l'algorithme AES-GCM (Advanced Encryption Standard-Galois Counter Mode) largement utilisé.
Modifiez ensuite votre machine virtuelle et cliquez sur VM Options
Vous devez sélectionner les options si votre vMotion doit être chiffré. Il existe trois politiques pour du vMotion chiffré :
Statut | Description |
---|---|
Disabled | Éteint. |
Opportunistic | Chiffrement uniquement s'il est pris en charge par l'hôte source et l'hôte cible ESXi. Dans le cas contraire, vMotion ne sera pas chiffré. |
Required | Le chiffrement sera utilisé. |
Le déplacement des machines entre les hôtes est effectué par l'échange de clés uniques, qui sont générées et servies par le serveur vCenter, plutôt que par KMS.
Échangez avec notre communauté d’utilisateurs sur https://community.ovh.com/.
Please feel free to give any suggestions in order to improve this documentation.
Whether your feedback is about images, content, or structure, please share it, so that we can improve it together.
Your support requests will not be processed via this form. To do this, please use the "Create a ticket" .
Thank you. Your feedback has been received.
Accedez à votre espace communautaire. Posez des questions, recherchez des informations, publiez du contenu et interagissez avec d’autres membres d'OVHcloud Community.
Echanger sur OVHcloud Community