Quantcast
Viewing all articles
Browse latest Browse all 3135

ネステッド vSAN 6.7 U1 を楽しむ。2018-12-21

December 21, 2018, 6:59 am
$
0
0

今月は1日1回くらい、さまざまな ネステッド vSAN 6.7 U1 を構成してみています。

 

一連の投稿へのリンクは下記をどうぞ。

ネステッド vSAN 6.7 U1 を楽しむ。まとめ

 

昨日はこちら。

ネステッド vSAN 6.7 U1 を楽しむ。2018-12-20

 

21日目は、vSAN データストアの暗号化です。

 

vSAN-Cluster-20181221 クラスタ

  • ESXi は 3ノード
  • ハイブリッド ディスクグループ(データストアを暗号化
    • 鍵管理サーバ(KMS)を vSAN データストア外に配置。
  • vCenter は vSAN 外部に配置

 

暗号化された vSAN データストアの様子。

ディスクのデータ暗号化をするソリューションでは、一般的に、鍵管理サーバ(KMS)を必要とします。

Using Encryption on a vSAN Cluster

 

KMS は暗号化対象の外に配置する必要があるため、

今回はネスト外側の、物理 ESXi ホストの VM で KMS サービスを起動しています。

 

KMS は、自宅ラボ系の暗号化動作確認で頻繁に利用される、

William Lam さんが用意している OpenKMS の Docker コンテナを利用しています。

https://www.virtuallyghetto.com/2016/12/kmip-server-docker-container-for-evaluating-vm-encryption-in-vsphere-6-5.html

 

ちなみに、

今年の(日本の)vExperts Advent Calendar 2018 でも 12/4 の投稿で紹介されています。

https://adventar.org/calendars/3101#list-2018-12-04

 

 

vSAN クラスタで、暗号化が有効になっています。

vSAN での暗号化は、データストア全体に作用します。(vSAN オブジェクト単位ではなく)

Image may be NSFW.
Clik here to view. vsan-adv-d21-01.png

 

vSAN の暗号化を有効化する前に、vCenter に鍵管理サーバ(KMS)を登録しておきます。

Image may be NSFW.
Clik here to view. vsan-adv-d21-02.png

 

KMS は、必ず vSAN データストアの外部に配置します。

Image may be NSFW.
Clik here to view. vsan-adv-d21-03.png

 

vSAN の健全性確認では、KMS との接続性の確認ができます。

vCenter と KMS のステータスです。

Image may be NSFW.
Clik here to view. vsan-adv-d21-04.png

 

ESXi と KMS のステータスです。

Image may be NSFW.
Clik here to view. vsan-adv-d21-05.png

 

KMS を停止した場合の影響を見てみる。

KMS の疑似障害として、KMS のサービスを起動している VM の vNIC を切断してみます。

Image may be NSFW.
Clik here to view. vsan-adv-d21-06.png

 

KMS への接続はできなくなりますが、vSAN 上では VM が起動したままです。

Image may be NSFW.
Clik here to view. vsan-adv-d21-07.png

 

メンテナンスモードにして、ESXi を再起動してみます。

まず、メンテナンスモードにします。

Image may be NSFW.
Clik here to view. vsan-adv-d21-08.png

 

そして、ESXi をシャットダウンします。

Image may be NSFW.
Clik here to view. vsan-adv-d21-09.png

 

ESXi が起動時に KMS にアクセスできない状態だと、

そのホストでは暗号化が有効化できなくなってしまいます。

Image may be NSFW.
Clik here to view. vsan-adv-d21-10.png

 

この ESXi は暗号化モードになれず、ディスクへのアクセスが不可になっています。

Image may be NSFW.
Clik here to view. vsan-adv-d21-14.png

 

vSAN 上の VM のデータ(vSAN オブジェクト)も、

ESXi ホスト 1台がローカル ディスクにアクセスできないため、可用性が低下した状態です。

まだ再起動していない ESXi が十分な台数あるため、VM のデータにはアクセス可能な状態です。

Image may be NSFW.
Clik here to view. vsan-adv-d21-13.png

 

しかし、まだ暗号化が有効なホストが十分数のこっているため、

vSAN オブジェクトへのアクセスはできます。

そのためディスク暗号化が有効化できなくなった ESXi ホストでも、VM を起動させることは可能です。

ただし、この ESXi のローカル ディスクにアクセスできるようにするためには、

KMS を復旧する必要があります。

Image may be NSFW.
Clik here to view. vsan-adv-d21-15.png

 

ちなみに、KMS と vCenter / ESXi の接続ができない場合は、vSAN の健全性チェックでも検知されます。

 

vCenter と KMS のステータスです。

Image may be NSFW.
Clik here to view. vsan-adv-d21-11.png

 

ESXi と KMS のステータスです。

Image may be NSFW.
Clik here to view. vsan-adv-d21-12.png

 

ネスト環境での vSAN データストア暗号化については、パフォーマンス検証には利用できませんが、

今回のように KMS やホスト障害などにかかわる挙動確認で有用かなと思います。

 

つづく。

ネステッド vSAN 6.7 U1 を楽しむ。2018-12-22

Search
Viewing all articles
Browse latest Browse all 3135

Trending Articles

Practice Sheet of Right form of verbs for HSC Students

September 22, 2019, 11:40 pm

Download: FK ft Shenky – Nakuyewa ”Prod by: Shenky”

February 16, 2017, 4:24 pm

How to win at Markstrat (Markstrat Tips and Tricks) – Vodites

January 5, 2014, 10:34 pm

Ominde Commission Report and Recommendations – Ominde Report of 1964

March 16, 2015, 5:14 am

Bureau of Internal Revenue: Regional Offices (Directory)

January 9, 2014, 11:06 pm

GO 53 on Enhancement of Ex-gratia upto 5 Lakhs Toddy Tappers in Telangana

March 26, 2017, 11:23 pm

Cakewalk CA-2A Leveling Amplifier v2.0.1.97 WiN, v2.0.1.96 OSX Incl Keygen

October 17, 2016, 7:20 am

Mp3 Download: Mdu - Kunjenjenjena

December 7, 2017, 8:16 am

How the kill the job , when DTP request running for long hours.

July 26, 2013, 2:41 am

Microsoft Intune から展開しているアプリのアップデートについて

October 17, 2016, 4:11 am

18-year-old girl was beaten for half an hour by two Northampton men in 'an...

September 1, 2017, 10:00 pm

Car crash in Dunton Bassett leaves driver in critical condition

October 7, 2014, 7:51 am

Macky 2, Two Others In Road Accident

March 29, 2015, 5:34 am

Application log 00000000000000089514: Could not convert queue DLVST90CLNT

May 14, 2015, 11:27 pm

Detroit mafia: D’Anna Brothers agree to plea deal

April 21, 2016, 6:56 am

Delivery block field greyed out using VA02

January 26, 2016, 2:52 pm

Muloraki Au

June 22, 2016, 1:44 am

【個人撮影】スマホのプライベート映像♪「中に出さないで///」カラオケ屋での生ハメ撮りが流出w【リベンジポルノ】@PornHub

October 12, 2017, 2:23 pm

BREAKING NEWS: Diamond Platnumz Is Reported Dead After Ghastly Car Accident

February 9, 2018, 4:56 am

FIAT 500 B0111 B0112

July 5, 2018, 10:31 am
Search