CloudLink: Jak ověřit konfiguraci Služby správy klíčů a stav připojení
Summary: CloudLink: Jak ověřit konfiguraci serveru KMS a stav připojení pomocí rozhraní příkazového řádku na hostiteli ESXi a uživatelském rozhraní vSphere.
Instructions
- Při použití Cloudlink jako KMS v prostředí vSAN lze konfiguraci Služby správy klíčů v hostiteli ESXi (6.7 nebo starší) načíst pomocí následujících příkazů cli.
esxcli vsan encryption kms list grep kmip /etc/vmware/esx.conf - V síti vSAN 7.0 a novějších se informace o šifrování již neukládají do
esx.conffile - V těchto verzích lze informace Služby správy klíčů získat pomocí
configstorenebo s následujícímiesxcli vsanŠifrovací příkazy - Pomocí následujícího příkazu načtěte informace ze serveru KMS
configstoreconfigstorecli config current get -c 'vsan' -g 'system' -k 'vsan' - Další příkazy esxcli pro informace o serverech KMS:
- Načtení informací o šifrování vSAN
esxcli vsan encryption info get - Načtení konfigurací Služby správy klíčů pro šifrování vSAN
esxcli vsan encryption kms list - Načtení klíče hostitele z mezipaměti klíčů
esxcli vsan encryption hostkey get - Načtěte cesty k souboru šifrovacího certifikátu na hostitelích ESXi
esxcli vsan encryption cert path list - Načtěte obsah certifikátu serveru KMS z hostitele ESXi (podobně jako "cat /etc/vmware/ssl/vsan_kms_castore.pem").
esxcli vsan encryption cert get
- Načtení informací o šifrování vSAN
- Netcat lze použít ke kontrole konektivity s hostitelem ESXi a KMS přes port 5696 (výchozí port pro KMS).
nc -z <kms-ip> 5696 - Chcete-li zkontrolovat stav připojení Služby správy klíčů v systému vSphere, vyberte v seznamu inventáře instanci serveru vCenter
- Klikněte na kartu Configure a potom v části Security klikněte na položku Key Providers.
- Stav Služby správy klíčů pro nástroj vCenter a hostitele lze alternativně zkontrolovat na úrovni clusteru v seznamu inventáře systému vSphere
- Klikněte na kartu Monitor a potom v části vSAN klikněte na položku Skyline Health
- V aplikaci Skyline Healthklikněte na možnost Encryption/Data-at-rest Encryption a poté jsou nástroj vCenter a všichni hostitelé připojeni k serverům KMS
Additional Information
Šifrování vSAN v klidu a při přenosu: Jaký je mezi nimi rozdíl?
https://greatwhitetec.com/tag/encryption/Šifrování vSAN Načítání
informací KMShttps://greatwhitetec.com/tag/vsan-encryption/
Výměna serveru vCenter, když je šifrování vSAN povoleno
https://knowledge.broadcom.com/external/article?legacyId=76306
Odstraňování problémů s připojením k síti a portu TCP/UDP v systému ESX/ESXi
https://knowledge.broadcom.com/external/article?legacyId=2020669
Přidání standardního poskytovatele klíčů pomocí systému vSphere Klient.
https://techdocs.broadcom.com/us/en/vmware-cis/vsphere/vsphere/7-0/vsphere-security-7-0/configuring-and-managing-a-standard-key-provider/set-up-the-key-management-server-cluster/add-a-kms-to-vcenter-server-in-the-vsphere-client.htmlPrincipy šifrování vSAN – adresování profilu Služby správy klíčůOdstraňování problémůse šifrováním vSAN
https://blogs.vmware.com/virtualblocks/2018/08/06/kms-profile-addressing/
Odstraňování problémů se šifrováním vSAN
https://knowledge.broadcom.com/external/article/326769/troubleshooting-vsan-encryption.html