vSphere 7.0 以降では、vSphere 暗号化テクノロジーを使用して、パーシステント ボリュームをバッキングする FCD 仮想ディスクを保護することができます。
vSphere 環境で暗号化を使用するには、いくつかの準備作業が必要です。これには、vCenter Server とキー プロバイダ間の信頼できる接続の設定が含まれます。これにより、vCenter Server は必要に応じてキー プロバイダからキーを取得できるようになります。vSphere 暗号化プロセスに参加するコンポーネントの詳細については、『vSphere のセキュリティ』ドキュメントの「vSphere 仮想マシンの暗号化のコンポーネント」を参照してください。
手順
- vSphere 環境でキー プロバイダを設定します。
- Kubernetes クラスタのすべてのノード仮想マシンを暗号化します。
vSphere Client を使用して、この手順を実行します。
- ノード仮想マシンに移動します。
- 右クリック メニューから、 の順に選択します。
- [仮想マシン ストレージ ポリシー] ドロップダウン メニューから、[仮想マシン暗号化ポリシー] を選択し、[OK] をクリックします。
ノード仮想マシンの暗号化プロセスを迅速化するために、仮想マシン ホームのみを暗号化することができます。
- vSphere CSI 設定を使用して、暗号化されたパーシステント ボリュームを Kubernetes クラスタに作成します。
- 仮想マシン暗号化ストレージ ポリシーを参照する StorageClass を作成します。
例として、次の YAML ファイルを使用します。
kind: StorageClass
apiVersion: storage.k8s.io/v1
metadata:
name: encryption
provisioner: csi.vsphere.vmware.com
parameters:
storagePolicyName: "VM Encryption Policy"
datastore: vsanDatastore
- PersistentVolumeClaim を使用して、パーシステント ボリュームをプロビジョニングします。
PersistentVolumeClaim では、
storageClassName フィールドに暗号化ストレージ クラスの名前を含める必要があります。