Virtual Machine Encryption (VM Encryption) einrichten

So aktivieren Sie die VMware-Funktion zur Verschlüsselung Ihrer virtuellen Maschinen

Stand 18.11.2020

Einleitung

Die vorliegende Anleitung erklärt die Vorgehensweise zur Einrichtung von VM Encryption auf der OVHcloud Managed Bare Metal. Hierzu wird eine Storage-Strategie verfolgt, bei der ein externer Key Management Server (KMS) verwendet wird.

In dieser Anleitung erfahren Sie, wie Sie die VMware-Funktion zur Verschlüsselung Ihrer virtuellen Maschinen einrichten.

Voraussetzungen

  • Sie haben ein Managed Bare Metal Angebot abonniert.
  • Sie verfügen über einen externen Key Management Server (KMS), der KMIP-1.1-konform ist und in der Kompatibilitätsmatrix von VMware aufgeführt wird.
  • Sie haben Zugriff auf das vSphere-Verwaltungsinterface.
  • Sie verfügen über virtuelle Maschinen mit Hardware-Version 13 oder höher.

Beschreibung

Zertifikat-Thumbprint des Key Management Servers (KMS) abrufen

Je nach verwendetem KMS können Sie sich über den Browser auf Ihrem Server einloggen. Klicken Sie anschließend auf View Certificate und dann auf Thumbprint.

Zertifikat-Thumbprint

Zertifikat-Thumbprint

Extrahieren Sie den Wert aus der Zeile SHA1 Fingerprint.

Alternative Vorgehensweise mit OpenSSL:

openssl s_client -connect 192.0.2.1:5696 < /dev/null 2>/dev/null | openssl x509 -fingerprint -noout -in /dev/stdin

Hier ist es der Wert rechts neben dem Gleichheitszeichen:

> SHA1 Fingerprint=7B:D9:46:BE:0C:1E:B0:27:CE:33:B5:2E:22:0F:00:84:F9:18:C6:61

Key Management Server (KMS) registrieren

Über das OVHcloud Kundencenter

Begeben Sie sich in Ihrem Kundencenter in den Bereich Bare Metal Cloud. Klicken Sie im linken Menü auf Managed Bare Metal und wählen Sie den betreffenden Managed Bare Metal Dienst aus.

Klicken Sie auf der Hauptseite des Dienstes auf Sicherheit.

OVHcloud Kundencenter

Weiter unten auf der Seite finden Sie den Abschnitt “Virtual Machine Encryption Key Management Servers”. Klicken Sie auf den Button Neuen KMS-Server hinzufügen.

KMS-Server

Geben Sie im daraufhin geöffneten Fenster folgende Informationen ein:

  • die IP-Adresse des KMS
  • den zuvor abgerufenen SSL Thumbprint des KMS

Bestätigen Sie, dass Sie die zugehörige Dokumentation gelesen haben, und bestätigen Sie anschließend den Vorgang, indem Sie auf Weiter klicken.

KMS-Server

Im nächsten Fenster wird der Prozessfortschritt angezeigt.

Über die OVHcloud API

Verschlüsselungsfunktionen können über die OVHcloud API aktiviert werden.

Um Ihren “serviceName” abzurufen, verwenden Sie folgenden API-Aufruf:

Um zu überprüfen, dass die Verschlüsselung noch nicht aktiviert ist, verwenden Sie diesen API-Aufruf:

>     "state": "disabled"

Registrieren Sie anschließend Ihren KMS:

Hierzu benötigen Sie folgende Informationen:

  • den zuvor abgerufenen “serviceName”
  • die IP-Adresse des KMS
  • den zuvor abgerufenen SSL Thumbprint des KMS

Key Management Server (KMS) zum vCenter hinzufügen

Zu diesem Abschnitt

Der vCenter-Server erstellt einen KMS-Cluster, wenn Sie Ihre erste KMS-Instanz hinzufügen.

  • Wenn Sie den KMS hinzufügen, werden Sie aufgefordert, den Cluster als Standard festzulegen. Sie können diesen später anpassen.
  • Nachdem das vCenter den ersten Cluster erstellt hat, können Sie neue KMS-Instanzen desselben Anbieters hinzufügen.
  • Um den Cluster zu konfigurieren, benötigen Sie mindestens eine KMS-Instanz.
  • Wenn Ihre Umgebung KMS-Lösungen von verschiedenen Anbietern verwendet, können Sie mehrere KMS-Cluster hinzufügen.
  • Wenn Ihre Umgebung mehrere KMS-Cluster beinhaltet und Sie den Standard-Cluster löschen, muss ein anderer Standard-Cluster festgelegt werden. Siehe “Festlegen des Standard-KMS-Clusters”.

Vorgehensweise

Loggen Sie sich zunächst über den vSphere Web Client auf Ihrer Managed Bare Metal ein. Durchsuchen Sie anschließend Ihre Inventarliste und wählen Sie das betreffende vCenter aus. Gehen Sie auf “Verwalten” und dann auf “Key Management Server”. Klicken Sie auf KMS hinzufügen, geben Sie die KMS-Informationen im neu geöffneten Assistenten ein und klicken Sie anschließend auf OK. Bestätigen Sie das Zertifikat, indem Sie auf Trust klicken.

Vorgehensweise KMS hinzufügen

Wählen Sie die folgenden Optionen aus:

Name der Option Beschreibung
“KMS-Cluster” Wählen Sie “Neuen Cluster erstellen” aus, um einen neuen Cluster zu erhalten. Wenn bereits ein Cluster vorhanden ist, können Sie diesen auswählen.
“Clustername” Name des KMS-Clusters. Dieser Name kann für den Login auf Ihrem KMS erforderlich sein, wenn Ihr vCenter nicht verfügbar ist. Es ist sehr wichtig, dass der Name des Clusters einzigartig und für dieses Element repräsentativ ist.
“Serveralias” Alias für den KMS. Dieser Alias kann für den Login auf Ihrem KMS erforderlich sein, wenn Ihr vCenter nicht verfügbar ist.
“Serveradresse” IP-Adresse oder FQDN des KMS.
“Serverport” Port, an dem sich vCenter mit dem KMS verbindet. Der Standard-KMIP-Port ist 5696. Dieser kann abweichen, wenn der KMS eines anderen Anbieters auf einem bestimmten Port konfiguriert ist.
“Proxy-Adresse” Lassen Sie dieses Feld leer.
“Proxyport” Lassen Sie dieses Feld leer.
“Benutzername” Einige KMS-Anbieter erlauben, dass Benutzer Verschlüsselungsschlüssel isolieren, die von verschiedenen Benutzern oder Gruppen verwendet werden, indem sie einen Benutzernamen und ein Passwort angeben. Geben Sie nur dann einen Benutzernamen an, wenn Ihr KMS diese Funktion unterstützt und Sie beabsichtigen, sie zu verwenden.
“Kennwort” Einige KMS-Anbieter erlauben, dass Benutzer Verschlüsselungsschlüssel isolieren, die von verschiedenen Benutzern oder Gruppen verwendet werden, indem sie einen Benutzernamen und ein Passwort angeben. Geben Sie nur dann ein Passwort an, wenn Ihr KMS diese Funktion unterstützt und Sie beabsichtigen, sie zu verwenden.

KMS-Zertifikat importieren

Die meisten KMS-Anbieter benötigen ein Zertifikat, um eine sichere Verbindung mit dem vCenter herzustellen.

Wählen Sie über das vCenter, in das Sie den KMS hinzugefügt haben, ebendiesen KMS aus. Klicken Sie im Bereich “Alle Optionen” auf “Vertrauenswürdige Verbindung mit KMS einrichten

Stellen Sie sicher, dass das Zertifikat nicht mit einem Passwort verschlüsselt ist, wenn Sie es über den KMS herunterladen. Wenn Sie zum Beispiel einen Benutzer erstellen, erstellen Sie diesen ohne Passwort und laden Sie das Zertifikat für den KMS-Benutzer herunter.

KMS-Zertifikat importieren

Überprüfen, dass der KMS konfiguriert ist

Stellen Sie sicher, dass der zum KMS gehörige “Connection Status” als “Normal” eingestellt ist.

Connection Status überprüfen

Speicherrichtlinien von “VM Encryption Storage” bearbeiten

Erstellen Sie eine virtuelle Maschine. Wenn diese fertig erstellt ist, klicken Sie mit der rechten Maustaste auf sie. Klicken Sie anschließend auf VM Policies und dann auf Edit VM Storage Policies.

VM Encryption Storage

Wählen Sie die Dateien der virtuellen Maschine sowie anderer Festplatten aus, die verschlüsselt werden sollen.

VM Encryption Storage

Überprüfen Sie, dass die Tasks fehlerfrei abgeschlossen wurden.

Wenn der KMS nicht korrekt konfiguriert ist und es beim Schlüsselaustausch zwischen vCenter und KMS zu Problemen kommt, wird im Task ein “RuntimeFault”-Fehler mit der Fehlermeldung “Cannot generate key” angezeigt.

Verschlüsseltes vMotion

Was vMotion betrifft, erfolgt die Verschlüsselung auf Ebene der virtuellen Maschine. Für die Synchronisierung werden 256-Bit-Verschlüsselungsschlüssel verwendet.

Die Verschlüsselung des vMotion-Traffics geschieht auf Ebene des Kernels der virtuellen Maschine mit dem häufig verwendeten AES-GCM- (Advanced Encryption Standard-Galois Counter Mode) Algorithmus.

Bearbeiten Sie die virtuelle Maschine und klicken Sie auf VM Options.

Die Optionen müssen speziell ausgewählt werden, wenn vMotion verschlüsselt werden soll. Für ein verschlüsseltes vMotion gibt es drei mögliche Richtlinien:

Status Beschreibung
Disabled Aus.
Opportunistic Nur verschlüsselt, wenn dies vom Quell-Host und ESXi-Ziel-Host unterstützt wird. Ist das nicht der Fall, wird vMotion nicht verschlüsselt.
Required Verschlüsselung wird verwendet.

Verschlüsseltes vMotion

Die Übertragung von Maschinen zwischen den Hosts geschieht über den Austausch einzigartiger Schlüssel, die über den vCenter-Server und nicht über den KMS generiert und bedient werden.

Konfiguration überprüfen

Konfiguration überprüfen

Konfiguration überprüfen

Konfiguration überprüfen

Weiterführende Informationen

Für den Austausch mit unserer User Community gehen Sie auf https://community.ovh.com/en/.


Haben Ihnen die Anleitungen geholfen?

Bevor Sie Ihre Meinung abgeben, nehmen wir gerne Ihre Vorschläge auf, wie wir diese Dokumente verbessern können.

Woran liegt es? An den Bildern, dem Inhalt oder Aufbau der Anleitungen? Schreiben Sie es uns gerne, dann machen wir es zusammen besser.

Ihre Support-Anfragen werden in diesem Formular nicht entgegengenommen. Verwenden Sie hierfür bitte das Formular "Ein Ticket erstellen" .

Vielen Dank. Ihr Feedback wurde gesendet.


Diese Anleitungen könnten Sie auch interessieren...

OVHcloud Community

Besuchen Sie Ihren Community-Bereich und tauschen Sie sich mit anderen Mitgliedern der OVHcloud Community aus. Hier können Sie Fragen stellen, zusätzliche Informationen finden und eigene Inhalte veröffentlichen.

Tauschen Sie sich mit der Community aus

Alle Preise verstehen sich inklusive der gesetzlichen Mehrwertsteuer.

In Übereinstimmung mit der Richtlinie 2006/112/EG in der geänderten Fassung können die Preise ab 01.01.2015 je nach Wohnsitzland des Kunden variieren
(die Preise in den Angeboten verstehen sich inklusive der gesetzlichen Mehrwertsteuer für die Bundesrepublik Deutschland).