CloudLink: So überprüfen Sie die KMS-Konfiguration und den Verbindungsstatus

• Bei Verwendung von Cloudlink als KMS in einer vSAN-Umgebung kann die KMS-Konfiguration auf einem ESXi-Host (6.7 oder früher) mithilfe der folgenden CLI-Befehle abgerufen werden

  esxcli vsan encryption kms list
  grep kmip /etc/vmware/esx.conf 

• In vSAN 7.0 und höher werden Verschlüsselungsinformationen nicht mehr im esx.conf file
• In diesen Versionen können KMS-Informationen über configstore oder mit den folgenden esxcli vsan Verschlüsselungsbefehle
• Verwenden Sie den folgenden Befehl, um KMS-Informationen abzurufen von configstore

  configstorecli config current get -c 'vsan' -g 'system' -k 'vsan'

• Zusätzliche esxcli-Befehle für Informationen zu KMS-Server(n):
  • Abrufen von vSAN-Verschlüsselungsinformationen

    esxcli vsan encryption info get

  • Abrufen von KMS-Konfigurationen für die vSAN-Verschlüsselung

    esxcli vsan encryption kms list

  • Abrufen des Hostschlüssels aus dem Keycache

    esxcli vsan encryption hostkey get

  • Abrufen der Verschlüsselungszertifikatdateipfade auf den ESXi-Hosts

    esxcli vsan encryption cert path list

  • Abrufen des Inhalts des KMS-Serverzertifikats vom ESXi-Host (ähnlich wie "cat /etc/vmware/ssl/vsan_kms_castore.pem")

    esxcli vsan encryption cert get

• Netcat kann verwendet werden, um die Konnektivität mit ESXi-Host und KMS über Port 5696 (Standardport für KMS) zu überprüfen

  nc -z <kms-ip> 5696

• Um den KMS-Verbindungsstatus in vSphere zu überprüfen, wählen Sie die vCenter Server-Instanz in der Bestandsliste aus
  • Klicken Sie auf die Registerkarte Konfigurieren und dann unter Sicherheit auf Schlüsselanbieter 

• Der KMS-Status für vCenter und Hosts kann alternativ auf Clusterebene in der vSphere-Bestandsliste überprüft werden
  • Klicken Sie auf die Registerkarte Monitor und dann auf Skyline Health unter vSAN
  • Klicken Sie in Skyline Health auf Verschlüsselung/Data-at-Rest-Verschlüsselung und dann auf vCenter und alle Hosts sind mit Key-Management-Servern verbunden

vSAN-Verschlüsselung im Ruhezustand und während der Übertragung: Was ist der Unterschied?


https://greatwhitetec.com/tag/encryption/Abruf von KMS-Informationen
zu vSAN-Verschlüsselunghttps://greatwhitetec.com/tag/vsan-encryption/

Austauschen von vCenter Server bei aktivierter
vSAN-Verschlüsselunghttps://knowledge.broadcom.com/external/article?legacyId=76306

Troubleshooting von Netzwerk- und TCP/UDP-Portkonnektivitätsproblemen auf ESX/ESXi-https://knowledge.broadcom.com/external/article?legacyId=2020669


Hinzufügen eines Standardschlüsselanbieters mithilfe von vSphere Kunde.


https://techdocs.broadcom.com/us/en/vmware-cis/vsphere/vsphere/7-0/vsphere-security-7-0/configuring-and-managing-a-standard-key-provider/set-up-the-key-management-server-cluster/add-a-kms-to-vcenter-server-in-the-vsphere-client.htmlGrundlegendes zur vSAN-Verschlüsselung – KMS-ProfiladressierungTroubleshooting bei vSAN-Verschlüsselungs
https://blogs.vmware.com/virtualblocks/2018/08/06/kms-profile-addressing/

Troubleshooting der vSAN-Verschlüsselung

https://knowledge.broadcom.com/external/article/326769/troubleshooting-vsan-encryption.html