VK
пробовал выливать через http/https?
Неа
Size: a a a
2021 January 27
k
Доброго дня. подскажите, плиз, как зашифровать датастор. vsphere 6.7. я в курсе, что там kms нужен, есть у кого инструкция? лии кто делал может?
EK
я делал
подключаешь кмс, создаешь политику, шифруешь
подключаешь кмс, создаешь политику, шифруешь
k
я делал
подключаешь кмс, создаешь политику, шифруешь
подключаешь кмс, создаешь политику, шифруешь
а какой кмс?
EK
https://github.com/OpenKMIP/PyKMIP
Это конечно больше заглушка, чем настоящий KMIP
Это конечно больше заглушка, чем настоящий KMIP
EK
Самый недорогой KMIP из таблицы совместимости это hytrust, но и он стоит конских денег, поэтому мы остановились на шифровании дисков на уровне вм
Но чисто для proof of work сгодится
Но чисто для proof of work сгодится
k
что имеешь ввиду? и почему не использовать "настоящий?" они опенсурсные вообще, или как? есть вписок рекомендованых вендором?
MO
Доброго дня. подскажите, плиз, как зашифровать датастор. vsphere 6.7. я в курсе, что там kms нужен, есть у кого инструкция? лии кто делал может?
А в доках на сайте нет ?
N
а какой кмс?
любой, который соответствует KMIP 1.1
EK
что имеешь ввиду? и почему не использовать "настоящий?" они опенсурсные вообще, или как? есть вписок рекомендованых вендором?
https://www.vmware.com/resources/compatibility/search.php?deviceCategory=kms
Вот матрица совместимости, все продукты из неё стоят конских денег. Имеет смысл внедрять, только когда у тебя куча заказчиков хочет шифрование дисков
Вот матрица совместимости, все продукты из неё стоят конских денег. Имеет смысл внедрять, только когда у тебя куча заказчиков хочет шифрование дисков
EK
https://docs.vmware.com/en/VMware-vSphere/6.7/com.vmware.vsphere.security.doc/GUID-70248689-A0E5-495B-A619-72561BA3A6C9.html
Вот гайд по шифрованию, всё довольно просто
Вот гайд по шифрованию, всё довольно просто
EK
любой, который соответствует KMIP 1.1
Есть опыт использования чего-нибудь не из матрицы совместимости? Были ли нюансы?
N
https://www.vmware.com/resources/compatibility/search.php?deviceCategory=kms
Вот матрица совместимости, все продукты из неё стоят конских денег. Имеет смысл внедрять, только когда у тебя куча заказчиков хочет шифрование дисков
Вот матрица совместимости, все продукты из неё стоят конских денег. Имеет смысл внедрять, только когда у тебя куча заказчиков хочет шифрование дисков
потому что сертфикацией/тестированием под vSphere занимались производители только ряда коммерческих решений. Другие на это забили - но техническое требования со стороны сферы - KMIP 1.1 и не более (там реализация сторого согласно стандарту).
EK
потому что сертфикацией/тестированием под vSphere занимались производители только ряда коммерческих решений. Другие на это забили - но техническое требования со стороны сферы - KMIP 1.1 и не более (там реализация сторого согласно стандарту).
Вопрос куда пошлёт поддержка в случае проблем с неподдерживаемым решением)
N
Вопрос куда пошлёт поддержка в случае проблем с неподдерживаемым решением)
тут проблем не очень много. В основном проблема в том, что собирая KMS на коленке есть не нулевой шанс его уложить. И вот без поддержки на него (KMS) есть риск угробить всю инфру (точнее не расшифровать)
N
поэтому я бы не стал использовать какой-либо KMS без поддержки. Тем более, что тот же Hytrust/gemalto/hashi стоит вполне адекватных денег (я сейчас не про сервис провайдеров, которым нужен по KMS’y на каждого заказчика, а обычный он-прем - там одной штуки за глаза)
EK
ну хаши стоит 25 килобаксов в год.
В моём случае он не отобьётся
В моём случае он не отобьётся
N
что-то много. Насколько я помню HyTrust стоил порядка 5к в год
EK
Hytrust один из самых недорогих, если не самый
N
в любом случае, перед тем как использовать какой-либо KMS без поддержки, я бы подумал на тему «а что я буду делать, если он внезапно сломается?»