今月は1日1回くらい、さまざまな ネステッド vSAN 6.7 U1 を構成してみています。

 

一連の投稿へのリンクは下記をどうぞ。

ネステッド vSAN 6.7 U1 を楽しむ。まとめ

 

昨日はこちら。

ネステッド vSAN 6.7 U1 を楽しむ。2018-12-20

 

21日目は、vSAN データストアの暗号化です。

 

vSAN-Cluster-20181221 クラスタ

  • ESXi は 3ノード
  • ハイブリッド ディスクグループ(データストアを暗号化
    • 鍵管理サーバ(KMS)を vSAN データストア外に配置。
  • vCenter は vSAN 外部に配置

 

暗号化された vSAN データストアの様子。

ディスクのデータ暗号化をするソリューションでは、一般的に、鍵管理サーバ(KMS)を必要とします。

Using Encryption on a vSAN Cluster

 

KMS は暗号化対象の外に配置する必要があるため、

今回はネスト外側の、物理 ESXi ホストの VM で KMS サービスを起動しています。

 

KMS は、自宅ラボ系の暗号化動作確認で頻繁に利用される、

William Lam さんが用意している OpenKMS の Docker コンテナを利用しています。

https://www.virtuallyghetto.com/2016/12/kmip-server-docker-container-for-evaluating-vm-encryption-in-vsphere-6-5.html

 

ちなみに、

今年の(日本の)vExperts Advent Calendar 2018 でも 12/4 の投稿で紹介されています。

https://adventar.org/calendars/3101#list-2018-12-04

 

 

vSAN クラスタで、暗号化が有効になっています。

vSAN での暗号化は、データストア全体に作用します。(vSAN オブジェクト単位ではなく)

vsan-adv-d21-01.png

 

vSAN の暗号化を有効化する前に、vCenter に鍵管理サーバ(KMS)を登録しておきます。

vsan-adv-d21-02.png

 

KMS は、必ず vSAN データストアの外部に配置します。

vsan-adv-d21-03.png

 

vSAN の健全性確認では、KMS との接続性の確認ができます。

vCenter と KMS のステータスです。

vsan-adv-d21-04.png

 

ESXi と KMS のステータスです。

vsan-adv-d21-05.png

 

KMS を停止した場合の影響を見てみる。

KMS の疑似障害として、KMS のサービスを起動している VM の vNIC を切断してみます。

vsan-adv-d21-06.png

 

KMS への接続はできなくなりますが、vSAN 上では VM が起動したままです。

vsan-adv-d21-07.png

 

メンテナンスモードにして、ESXi を再起動してみます。

まず、メンテナンスモードにします。

vsan-adv-d21-08.png

 

そして、ESXi をシャットダウンします。

vsan-adv-d21-09.png

 

ESXi が起動時に KMS にアクセスできない状態だと、

そのホストでは暗号化が有効化できなくなってしまいます。

vsan-adv-d21-10.png

 

この ESXi は暗号化モードになれず、ディスクへのアクセスが不可になっています。

vsan-adv-d21-14.png

 

vSAN 上の VM のデータ(vSAN オブジェクト)も、

ESXi ホスト 1台がローカル ディスクにアクセスできないため、可用性が低下した状態です。

まだ再起動していない ESXi が十分な台数あるため、VM のデータにはアクセス可能な状態です。

vsan-adv-d21-13.png

 

しかし、まだ暗号化が有効なホストが十分数のこっているため、

vSAN オブジェクトへのアクセスはできます。

そのためディスク暗号化が有効化できなくなった ESXi ホストでも、VM を起動させることは可能です。

ただし、この ESXi のローカル ディスクにアクセスできるようにするためには、

KMS を復旧する必要があります。

vsan-adv-d21-15.png

 

ちなみに、KMS と vCenter / ESXi の接続ができない場合は、vSAN の健全性チェックでも検知されます。

 

vCenter と KMS のステータスです。

vsan-adv-d21-11.png

 

ESXi と KMS のステータスです。

vsan-adv-d21-12.png

 

ネスト環境での vSAN データストア暗号化については、パフォーマンス検証には利用できませんが、

今回のように KMS やホスト障害などにかかわる挙動確認で有用かなと思います。

 

つづく。

ネステッド vSAN 6.7 U1 を楽しむ。2018-12-22