今月は1日1回くらい、さまざまな ネステッド vSAN 6.7 U1 を構成してみています。
一連の投稿へのリンクは下記をどうぞ。
昨日はこちら。
ネステッド vSAN 6.7 U1 を楽しむ。2018-12-20
21日目は、vSAN データストアの暗号化です。
vSAN-Cluster-20181221 クラスタ
- ESXi は 3ノード
- ハイブリッド ディスクグループ(データストアを暗号化)
- 鍵管理サーバ(KMS)を vSAN データストア外に配置。
- vCenter は vSAN 外部に配置
暗号化された vSAN データストアの様子。
ディスクのデータ暗号化をするソリューションでは、一般的に、鍵管理サーバ(KMS)を必要とします。
Using Encryption on a vSAN Cluster
KMS は暗号化対象の外に配置する必要があるため、
今回はネスト外側の、物理 ESXi ホストの VM で KMS サービスを起動しています。
KMS は、自宅ラボ系の暗号化動作確認で頻繁に利用される、
William Lam さんが用意している OpenKMS の Docker コンテナを利用しています。
ちなみに、
今年の(日本の)vExperts Advent Calendar 2018 でも 12/4 の投稿で紹介されています。
https://adventar.org/calendars/3101#list-2018-12-04
vSAN クラスタで、暗号化が有効になっています。
vSAN での暗号化は、データストア全体に作用します。(vSAN オブジェクト単位ではなく)
vSAN の暗号化を有効化する前に、vCenter に鍵管理サーバ(KMS)を登録しておきます。
KMS は、必ず vSAN データストアの外部に配置します。
vSAN の健全性確認では、KMS との接続性の確認ができます。
vCenter と KMS のステータスです。
ESXi と KMS のステータスです。
KMS を停止した場合の影響を見てみる。
KMS の疑似障害として、KMS のサービスを起動している VM の vNIC を切断してみます。
KMS への接続はできなくなりますが、vSAN 上では VM が起動したままです。
メンテナンスモードにして、ESXi を再起動してみます。
まず、メンテナンスモードにします。
そして、ESXi をシャットダウンします。
ESXi が起動時に KMS にアクセスできない状態だと、
そのホストでは暗号化が有効化できなくなってしまいます。
この ESXi は暗号化モードになれず、ディスクへのアクセスが不可になっています。
vSAN 上の VM のデータ(vSAN オブジェクト)も、
ESXi ホスト 1台がローカル ディスクにアクセスできないため、可用性が低下した状態です。
まだ再起動していない ESXi が十分な台数あるため、VM のデータにはアクセス可能な状態です。
しかし、まだ暗号化が有効なホストが十分数のこっているため、
vSAN オブジェクトへのアクセスはできます。
そのためディスク暗号化が有効化できなくなった ESXi ホストでも、VM を起動させることは可能です。
ただし、この ESXi のローカル ディスクにアクセスできるようにするためには、
KMS を復旧する必要があります。
ちなみに、KMS と vCenter / ESXi の接続ができない場合は、vSAN の健全性チェックでも検知されます。
vCenter と KMS のステータスです。
ESXi と KMS のステータスです。
ネスト環境での vSAN データストア暗号化については、パフォーマンス検証には利用できませんが、
今回のように KMS やホスト障害などにかかわる挙動確認で有用かなと思います。
つづく。