Ab vSphere 7.0 können Sie die vSphere-Verschlüsselungstechnologie verwenden, um virtuelle FCD-Festplatten zu schützen, die persistente Volumes sichern.

Die Verwendung der Verschlüsselung in Ihrer vSphere-Umgebung erfordert eine gewisse Vorbereitung und beinhaltet die Einrichtung einer vertrauenswürdigen Verbindung zwischen vCenter Server und einem Schlüsselanbieter. vCenter Server kann dann nach Bedarf Schlüssel beim Schlüsselanbieter abrufen. Informationen zu Komponenten, die am vSphere-Verschlüsselungsprozess beteiligt sind, finden Sie unter vSphere Virtual Machine Encryption-Komponenten in der vSphere-Sicherheit-Dokumentation.

Prozedur

  1. Richten Sie den Schlüsselanbieter in Ihrer vSphere-Umgebung ein.
    Weitere Informationen finden Sie unter Einrichten des Schlüsselmanagementserver-Clusters.
  2. Verschlüsseln Sie alle Knoten-VMs im Kubernetes-Cluster.
    Verwenden Sie für diesen Schritt den vSphere Client.
    1. Navigieren Sie zu einer Knoten-VM.
    2. Wählen Sie im Kontextmenü VM-Richtlinien > VM-Speicherrichtlinien bearbeiten aus.
    3. Wählen Sie im Dropdown-Menü VM-Speicherrichtlinie die Option VM-Speicherrichtlinie aus und klicken Sie auf OK.
      Um den Verschlüsselungsprozess der Knoten-VMs zu beschleunigen, können Sie nur VM-Home verschlüsseln.
  3. Erstellen Sie verschlüsselte persistente Volumes im Kubernetes-Cluster mit der vSphere-CSI-Konfiguration.
    1. Erstellen Sie eine StorageClass, die auf die Speicherrichtlinie für die VM-Verschlüsselung verweist.
      Verwenden Sie die folgende YAML-Datei als Beispiel.
      kind: StorageClass
      apiVersion: storage.k8s.io/v1
      metadata:
        name: encryption
      provisioner: csi.vsphere.vmware.com
      parameters:
        storagePolicyName: "VM Encryption Policy"
        datastore: vsanDatastore
        
    2. Verwenden Sie „PersistentVolumeClaim“, um das persistente Volume bereitzustellen.
      „PersistentVolumeClaim“ muss den Namen der Verschlüsselungsspeicherklasse im Feld storageClassName enthalten.