SCVMM 2012 için Distributed Key Management

   29 Nisan 2014   465 kere okundu.      Hyper-V - Virtualization

Makale yazmak istediğimde konuları genellikle sizlerden almış olduğum geri beslemelere ve epostalara göre seçiyorum. SCVMM 2012 kurulumu sırasında karşımıza çıkan Distributed Key Management konusuda son zamanlarda sıkça karşılaştığım bu tür konulardan birisi oldu. Bu yüzden bu haftaki yazımızda bu konuya ayrıntılı olarak değinmek istedim.

System Center 2012 – Virtual Machine Manager (VMM) ailesi ile birlikte tanıştığımız Distributed Key Management (DKM), SCVMM içerisinde kullanılan ürün anahtarları, Run As Account bilgileri gibi hassas dataların saklanacağı lokasyonun kurulum aşamasında belirlenmesidir. Bu konuda SCVMM bize iki seçenek sunmaktadır,

İlk seçenek ve varsayılan yöntem, VMM, Data Protection Application Programming Interface (DPAPI) yardımıyla, lokal işletim sistemi profilini baz alarak hassas dataları veritabanında şifreleyerek saklar. Herşey yolunda iken bu şekilde kurulumun herhangi bir sakıncası yoktur. Fakat olası bir donanımsal veya işletim sisteminden kaynaklanan problemler sonucu VMM Server erişilemez ve yeniden kurulması gerektiğinde tanımlanmış olan bütün Run As Account gibi önemli ayarlar erişilemez durumda olacaktır.

Bildiğiniz gibi SCVMM 2012 ile birlikte yüksek erişebilirlik (HA) kurulum senaryoları desteklenmektedir. Fakat yukarıdaki gibi DPAPI ile şifrelenmiş bir altyapı üzerine Cluster çalışma senaryoları tasarlansa bile hata durumunda şifrelenmiş verilere erişimin olmayacağı için cluster ortamımızda çalışmayacaktır. Bunda dolayı ikinci bir yöntem olan hassas verilerin Active Directory veri tabanında saklanma gereksinimi ortaya çıkmıştır. 

Bu seçenekte bütün hassas veriler Active Directory ortamında saklandığından dolayı VMM Server olası bir sebebten dolayı yeniden kurulması gerekse bile bütün ayarlar kaldığımız yerden çalışmaya devam edecektir.

Kurulum aşamasında kullanacağımız VMM Service Accountumuz eğer schema üzerinde değişiklik yapmaya yetkili bir kullanıcı ise verilerin saklanacağı DKM konteynırı otomatik olarak oluşturulur. Çok güvenli olmayan bu yöntem yerine Adsiedit ile konteynırı kendimiz oluşturup VMM Servis hesabına yetki vermemiz daha uygun olacaktır.

Adsiedit aracını kullarak Domainimize bağlanıyoruz ve New – Object menüsüne giriyoruz.

 scvmm-dkm (1)

Container seçeneğini seçerek ilerliyoruz.

 scvmm-dkm (2)

Konteynır objemiz için isim veriyoruz. Varsayılan olarak VMMDKM ismi tercih edilir.

 scvmm-dkm (3)

Finish butonu ile işlemimizi bitiriyoruz.

 scvmm-dkm (4)

Oluşturmuş olduğumuz bu konteynır özelliklerinden Advanced butonuna tıklıyoruz. Permission tabında “This object and all descendant objects” bölümünden VMM Servis hesabına Full Control yetkisi veriyoruz.

 scvmm-dkm (5)

 

Yukarıdaki adımlardan sonra konteynırımız kullanımıza hazır hale gelmiştir. VMM kurulum ekranından “Store My Keys in Active Directory” seçeneğini seçerek konteynırın Distinguished Name bilgisini girerek kuruluma devam edebiliriz.

 scvmm-dkm (6)

Özet olarak, hassas verilirin saklanacağı konumu kurulum aşamasında karar vermeliyiz aksi takdirde sonrasında bu ayarı değiştiremeyiz. VMM sunucularımız için Cluster altyapısı kullanılacak ise  Active Directory seçeneğini seçmemiz zorunludur.

Faydalı olması dileğimle.


Toplam 1 Yorum Yapılmış.

  1. Hakkı bütün diyor ki:

    bu site sanırım sık kullanılanlara eklenmeyi hak ediyor.

Yorum Yapmak İster Misiniz?

A

@

W