{"id":620,"date":"2023-03-21T21:45:05","date_gmt":"2023-03-21T20:45:05","guid":{"rendered":"https:\/\/kdslabs.fr\/?p=620"},"modified":"2023-04-13T11:37:43","modified_gmt":"2023-04-13T09:37:43","slug":"article-vcenter-part-1-migration-du-native-key-provider-nkp-vers-un-kms-externe","status":"publish","type":"post","link":"https:\/\/kdslabs.fr\/index.php\/2023\/03\/21\/article-vcenter-part-1-migration-du-native-key-provider-nkp-vers-un-kms-externe\/","title":{"rendered":"[ARTICLE] [VCENTER] [PART 1] Migration du Native Key Provider (NKP) vers un KMS Externe"},"content":{"rendered":"\n
[ARTICLE] [VCENTER] [PART 1] Migration du Native Key Provider (NKP) vers un KMS Externe<\/h4>\n\n\n\n
J’ai r\u00e9cemment \u00e9t\u00e9 confront\u00e9 \u00e0 un besoin de s\u00e9curit\u00e9 li\u00e9 \u00e0 une homologation, et afin de r\u00e9pondre aux exigences de cette homologation il faut migrer l’ensemble des workloads chiffr\u00e9s sur le NKP (Native Key Provider) du vCenter sur un KMS Externe, et ce en prenant en compte qu’il ne faut pas que les clients aient le moindre impact de service. (dans la limite de tout probl\u00e8me \u00e9ventuel<\/span>:<\/strong> prochain post sur le sujet en part 2). <\/p>\n\n\n\n
Installer les modules PowerCLI & VMware.VMEncryption<\/li>\n\n\n\n
Backup du NKP en cas de rollback \u00e9ventuel<\/li>\n\n\n\n
VIP KMS (\u00e0 faire avec un AVI LB par exemple)\n
\n
La VIP est obligatoire parce que le vCenter requ\u00eate continuellement les 2 KMS, et s’il en d\u00e9tecte 1 KO il rendra le cluster automatiquement inutilisable et donc toute nouvelle cr\u00e9ation de VM sera impossible. Le contournement est d’utiliser une VIP directement sur le vCenter. <\/li>\n<\/ul>\n<\/li>\n\n\n\n
Tests de r\u00e9silience du KMS effectu\u00e9s<\/li>\n\n\n\n
V\u00e9rification de la Storage Policy porteur du chiffrement\n
\n
V\u00e9rification du Storage Comptatibility<\/li>\n<\/ul>\n<\/li>\n<\/ul>\n\n\n\n
Nous avons 2 choix possibles pour re-chiffrer des VMs d’un Key Provider vers un autre (Native Key Provider vers Standard KMS ou inversement).<\/p>\n\n\n\n
Migration des workloads du NKP vers le KMS Externe<\/span><\/h4>\n\n\n\n
M\u00e9thode manuelle (VM par VM):<\/span><\/h4>\n\n\n\n
Cette m\u00e9thode est la plus rapide si vous n’avez d’environnement pr\u00eat avec les modules PowerCLI & VMware.VMEncryption, et seulement si vous avez quelques dizaines de VMs \u00e0 migrer. <\/p>\n\n\n\n
Aussi, elle est possible seulement si vos nouveaux workloads peuvent d’ores et d\u00e9j\u00e0 \u00eatre h\u00e9berg\u00e9s sur le KMS Externe.<\/p>\n\n\n\n
\n
Passage du KMS Externe en “default” <\/li>\n<\/ul>\n\n\n\n<\/figure>\n\n\n\n
\n
Rekey de chaque VM<\/li>\n<\/ul>\n\n\n\n<\/figure>\n\n\n\n<\/figure>\n\n\n\n
\n
Suppression de l’ancien NKP (garder le backup en cas de rollback)<\/li>\n<\/ul>\n\n\n\n
<\/p>\n\n\n\n
M\u00e9thode PowerCLI (VM par VM):<\/span><\/h4>\n\n\n\n
Cette m\u00e9thode est la plus rapide, et surtout elle est mandatory si vous ne pouvez pas passer le KMS Externe en default c\u00f4t\u00e9 vCenter (pour une raison fonctionnelle ou technique par exemple).<\/p>\n\n\n\n
\n
Passage du KMS Externe en “default” depuis le vCenter<\/li>\n<\/ul>\n\n\n\n<\/figure>\n\n\n\n
\n
Migration des workloads sur le NKP vers le KMS Externe<\/li>\n<\/ul>\n\n\n\n
Suppression de l’ancien NKP (garder le backup en cas de rollback)<\/li>\n<\/ul>\n\n\n\n
<\/p>\n\n\n\n
Migration des workloads du KMS Externe vers le NKP<\/span><\/h4>\n\n\n\n
Petite subtilit\u00e9 sur la migration vers le NKP, la commande n’est plus la m\u00eame et d\u00e9pend cette fois-ci directement de VMware.PowerCLI<\/p>\n\n\n\n
Liste des tests effectu\u00e9s et de leur r\u00e9sultat<\/span><\/h4>\n\n\n\n
Avant de commencer, l’ensemble de ces tests ont \u00e9t\u00e9 effectu\u00e9s sur une infra de lab pour confirmer la faisabilit\u00e9\/non faisabilit\u00e9 des tests avant une MEP officielle. Ne soyez pas surpris si des tests paraissent “logique” et sont “KO”<\/p>\n\n\n\n
\n
Backup “NKP”\n
\n
Obligatoire pour l’utiliser => OK<\/li>\n<\/ul>\n<\/li>\n\n\n\n
Shutdown du vCenter porteur du “NKP” (Per-VM)\n
\n
Aucune perte de connexion sur les VMs seulement si les hosts sont UP (KEK en cache sur l’ESXi), sinon dans le cas contraire nous avons un probl\u00e8me li\u00e9 au vSAN car l’host ne trouve plus le .vmx ce qui est logique parce que la VM est chiffr\u00e9e:<\/li>\n<\/ul>\n<\/li>\n<\/ul>\n\n\n\n<\/figure>\n\n\n\n
\n
Suppression “NKP” + reboot du vCenter (Cluster Encryption)\n
\n
Comme le test pr\u00e9c\u00e9dent, aucune perte c\u00f4t\u00e9 VM sauf si reboot des hosts:<\/li>\n<\/ul>\n<\/li>\n<\/ul>\n\n\n\n<\/figure>\n\n\n\n
\n
Suppression et restauration du “NKP”\n
\n
Les hosts se comportent correctement, les KEK sont bien pouss\u00e9es sur chaque ESXi et les VMs sont automatiquement d\u00e9chiffr\u00e9es:<\/li>\n<\/ul>\n<\/li>\n<\/ul>\n\n\n\n<\/figure>\n\n\n\n
\n
Restore du vCenter et du NKP via le VCSA Deploy (clean restore)\n
\n
Toutes les VMs peuvent \u00eatre dechiffr\u00e9es apr\u00e8s que le NKP soit bien reconnu<\/li>\n<\/ul>\n<\/li>\n\n\n\n
Cr\u00e9ation d’une VM sur un vCenter porteur d’un NKP puis migration de cette VM sur un vCenter n’ayant pas le NKP source:<\/li>\n<\/ul>\n\n\n\n<\/figure>\n\n\n\n
\n
Import du NKP source:<\/li>\n<\/ul>\n\n\n\n<\/figure>\n\n\n\n<\/figure>\n\n\n\n
Conclusion<\/span><\/h4>\n\n\n\n
Nous avons vu comment migrer ses workloads d’un KMS Externe vers un NKP (ou inversement). Avant toute chose rappelez-vous que les pr\u00e9requis cit\u00e9s en d\u00e9but d’article sont tr\u00e8s important, un rollback dans le cadre d’une migration est tr\u00e8s critique (perte d’acc\u00e8s possible aux workloads). C’est d’ailleurs ce que nous allons voir en partie 2<\/p>\n\n\n\n
![\"\"](\"https:\/\/kdslabs.fr\/wp-content\/uploads\/2023\/03\/KMS-vCenter-1024x475.png\")
<\/figure>\n\n\n\n![\"\"](\"https:\/\/kdslabs.fr\/wp-content\/uploads\/2023\/03\/OK-re-encrypt-manuel-1024x515.png\")
<\/figure>\n\n\n\n![\"\"](\"https:\/\/kdslabs.fr\/wp-content\/uploads\/2023\/03\/vCenter-KMS-VM-1-1024x579.png\")
<\/figure>\n\n\n\n![\"\"](\"https:\/\/kdslabs.fr\/wp-content\/uploads\/2023\/03\/OK-KMS-vCenter-1024x475.png\")
<\/figure>\n\n\n\n![\"\"](\"https:\/\/kdslabs.fr\/wp-content\/uploads\/2023\/03\/NKP-1-1024x174.png\")
<\/figure>\n\n\n\n![\"\"](\"https:\/\/kdslabs.fr\/wp-content\/uploads\/2023\/03\/NKP2-1024x260.png\")
<\/figure>\n\n\n\n![\"\"](\"https:\/\/kdslabs.fr\/wp-content\/uploads\/2023\/03\/NKP-3.png\")
<\/figure>\n\n\n\n![\"\"](\"https:\/\/kdslabs.fr\/wp-content\/uploads\/2023\/03\/nkp4-1024x686.png\")
<\/figure>\n\n\n\n![\"\"](\"https:\/\/kdslabs.fr\/wp-content\/uploads\/2023\/03\/nkp5-1024x853.png\")
<\/figure>\n\n\n\n![\"\"](\"https:\/\/kdslabs.fr\/wp-content\/uploads\/2023\/03\/nkp6-1024x707.png\")
<\/figure>\n\n\n\n