CloudLink: Cómo verificar la configuración de KMS y el estado de conexión

• Cuando se utiliza Cloudlink como KMS en un entorno vSAN, la configuración de KMS en un host ESXi (6.7 o anterior) se puede recuperar mediante los siguientes comandos de la CLI

  esxcli vsan encryption kms list
  grep kmip /etc/vmware/esx.conf 

• En vSAN 7.0 y versiones posteriores, la información de cifrado ya no se almacena en la esx.conf archivo
• En esas versiones, la información de KMS se puede recuperar mediante configstore o con lo siguiente esxcli vsan Comandos de cifrado
• Utilice el siguiente comando para recuperar la información de KMS de configstore

  configstorecli config current get -c 'vsan' -g 'system' -k 'vsan'

• Comandos adicionales de esxcli para la información de los servidores KMS:
  • Recuperación de la información de cifrado de vSAN

    esxcli vsan encryption info get

  • Recuperar configuraciones de KMS para el cifrado de vSAN

    esxcli vsan encryption kms list

  • Recuperar la clave de host de la caché de claves

    esxcli vsan encryption hostkey get

  • Recuperar rutas de archivo de certificado de cifrado en los hosts ESXi

    esxcli vsan encryption cert path list

  • Recupere el contenido del certificado del servidor KMS desde el host ESXi (similar a "cat /etc/vmware/ssl/vsan_kms_castore.pem")

    esxcli vsan encryption cert get

• Netcat se puede utilizar para comprobar la conectividad con el host ESXi y KMS mediante el puerto 5696 (puerto predeterminado para KMS)

  nc -z <kms-ip> 5696

• Para comprobar el estado de la conexión de KMS en vSphere, seleccione la instancia de vCenter Server en la lista de inventario
  • Haga clic en la pestaña Configure y, a continuación, haga clic en Key Providers en Security 

• Como alternativa, el estado de KMS para vCenter y los hosts se puede comprobar en el nivel del clúster en la lista de inventario de vSphere
  • Haga clic en la pestaña Monitor y, a continuación, haga clic en Skyline Health en vSAN
  • En Skyline Health, haga clic en Cifrado/Cifrado de datos en reposo y, a continuación, vCenter y todos los hosts están conectados a los servidores de administración de claves

Cifrado de vSAN en reposo y en tránsito: ¿Cuál es la diferencia?


https://greatwhitetec.com/tag/encryption/Recuperación de información de KMS de
vSAN Encryptionhttps://greatwhitetec.com/tag/vsan-encryption/

Reemplazo de vCenter Server cuando el cifrado de vSAN está habilitado
https://knowledge.broadcom.com/external/article?legacyId=76306

Solución de problemas de conectividad de red y de puertos TCP/UDP en ESX/ESXi
https://knowledge.broadcom.com/external/article?legacyId=2020669

Agregar un proveedor de claves estándar mediante vSphere Cliente.


https://techdocs.broadcom.com/us/en/vmware-cis/vsphere/vsphere/7-0/vsphere-security-7-0/configuring-and-managing-a-standard-key-provider/set-up-the-key-management-server-cluster/add-a-kms-to-vcenter-server-in-the-vsphere-client.htmlComprensión del cifrado de vSAN: direccionamiento de perfiles de KMSolución de problemas de cifrado
de vSANhttps://blogs.vmware.com/virtualblocks/2018/08/06/kms-profile-addressing/

Solución de problemas del cifrado de vSAN

https://knowledge.broadcom.com/external/article/326769/troubleshooting-vsan-encryption.html