Skip to main content
Die deutsche Sprachversion wurde als Serviceleistung für Sie durch maschinelle Übersetzung erstellt. Bei eventuellen Unstimmigkeiten hat die englische Sprachversion Vorrang.

KMS- und Appliance-Konfiguration

PDFs

Bevor Sie einen Schlüsselverwaltungsserver (KMS) zum Sichern von StorageGRID -Daten auf Appliance-Knoten verwenden können, müssen Sie zwei Konfigurationsaufgaben ausführen: Einrichten eines oder mehrerer KMS-Server und Aktivieren der Knotenverschlüsselung für die Appliance-Knoten. Wenn diese beiden Konfigurationsaufgaben abgeschlossen sind, erfolgt der Schlüsselverwaltungsprozess automatisch.

Das Flussdiagramm zeigt die allgemeinen Schritte zur Verwendung eines KMS zum Sichern von StorageGRID -Daten auf Appliance-Knoten.

KMS-Konfigurationsworkflow

Das Flussdiagramm zeigt, dass die KMS-Einrichtung und die Einrichtung der Appliance parallel erfolgen. Sie können die Schlüsselverwaltungsserver jedoch je nach Ihren Anforderungen vor oder nach der Aktivierung der Knotenverschlüsselung für neue Appliance-Knoten einrichten.

Einrichten des Schlüsselverwaltungsservers (KMS)

Das Einrichten eines Schlüsselverwaltungsservers umfasst die folgenden allgemeinen Schritte.

Schritt Siehe

Greifen Sie auf die KMS-Software zu und fügen Sie jedem KMS oder KMS-Cluster einen Client für StorageGRID hinzu.

"Konfigurieren Sie StorageGRID als Client im KMS"

Besorgen Sie sich die erforderlichen Informationen für den StorageGRID -Client auf dem KMS.

"Konfigurieren Sie StorageGRID als Client im KMS"

Fügen Sie das KMS zum Grid Manager hinzu, weisen Sie es einer einzelnen Site oder einer Standardgruppe von Sites zu, laden Sie die erforderlichen Zertifikate hoch und speichern Sie die KMS-Konfiguration.

"Hinzufügen eines Schlüsselverwaltungsservers (KMS)"

Einrichten der Appliance

Das Einrichten eines Appliance-Knotens für die KMS-Verwendung umfasst die folgenden allgemeinen Schritte.

  1. Verwenden Sie während der Hardwarekonfigurationsphase der Appliance-Installation das StorageGRID Appliance Installer, um die Einstellung Knotenverschlüsselung für die Appliance zu aktivieren.

    Hinweis Sie können die Einstellung Knotenverschlüsselung nicht aktivieren, nachdem eine Appliance zum Grid hinzugefügt wurde, und Sie können die externe Schlüsselverwaltung nicht für Appliances verwenden, bei denen die Knotenverschlüsselung nicht aktiviert ist.

  2. Führen Sie das StorageGRID Appliance-Installationsprogramm aus. Während der Installation wird jedem Appliance-Volume wie folgt ein zufälliger Datenverschlüsselungsschlüssel (DEK) zugewiesen:

    • Die DEKs werden zum Verschlüsseln der Daten auf jedem Volume verwendet. Diese Schlüssel werden mithilfe der Linux Unified Key Setup (LUKS)-Festplattenverschlüsselung im Betriebssystem der Appliance generiert und können nicht geändert werden.

    • Jeder einzelne DEK wird durch einen Master-Key-Verschlüsselungsschlüssel (KEK) verschlüsselt. Der anfängliche KEK ist ein temporärer Schlüssel, der die DEKs verschlüsselt, bis das Gerät eine Verbindung zum KMS herstellen kann.

  3. Fügen Sie den Appliance-Knoten zu StorageGRID hinzu.

Sehen "Knotenverschlüsselung aktivieren" für Details.

Schlüsselverwaltungs-Verschlüsselungsprozess (erfolgt automatisch)

Die Schlüsselverwaltungsverschlüsselung umfasst die folgenden Schritte auf hoher Ebene, die automatisch ausgeführt werden.

  1. Wenn Sie eine Appliance mit aktivierter Knotenverschlüsselung im Grid installieren, ermittelt StorageGRID , ob für die Site, die den neuen Knoten enthält, eine KMS-Konfiguration vorhanden ist.

    • Wenn für die Site bereits ein KMS konfiguriert wurde, erhält die Appliance die KMS-Konfiguration.

    • Wenn für die Site noch kein KMS konfiguriert wurde, werden die Daten auf der Appliance weiterhin durch den temporären KEK verschlüsselt, bis Sie für die Site ein KMS konfigurieren und die Appliance die KMS-Konfiguration erhält.

  2. Die Appliance verwendet die KMS-Konfiguration, um eine Verbindung zum KMS herzustellen und einen Verschlüsselungsschlüssel anzufordern.

  3. Das KMS sendet einen Verschlüsselungsschlüssel an das Gerät. Der neue Schlüssel vom KMS ersetzt den temporären KEK und wird nun zum Verschlüsseln und Entschlüsseln der DEKs für die Appliance-Volumes verwendet.

    Achtung Alle Daten, die vorhanden sind, bevor der verschlüsselte Appliance-Knoten eine Verbindung zum konfigurierten KMS herstellt, werden mit einem temporären Schlüssel verschlüsselt. Allerdings sollten die Appliance-Volumes erst dann als vor der Entfernung aus dem Rechenzentrum geschützt betrachtet werden, wenn der temporäre Schlüssel durch den KMS-Verschlüsselungsschlüssel ersetzt wurde.

  4. Wenn das Gerät eingeschaltet oder neu gestartet wird, stellt es erneut eine Verbindung zum KMS her, um den Schlüssel anzufordern. Der im flüchtigen Speicher gespeicherte Schlüssel übersteht einen Stromausfall oder Neustart nicht.