CloudLink : Comment vérifier la configuration KMS et l’état de la connexion

• Lors de l’utilisation de CloudLink en tant que KMS dans un environnement vSAN, la configuration KMS sur un hôte ESXi (6.7 ou version antérieure) peut être récupérée à l’aide des commandes CLI suivantes

  esxcli vsan encryption kms list
  grep kmip /etc/vmware/esx.conf 

• Dans vSAN 7.0 et versions ultérieures, les informations de chiffrement ne sont plus stockées dans le esx.conf file
• Dans ces versions, les informations KMS peuvent être récupérées à l’aide de : configstore ou avec les éléments suivants esxcli vsan Commandes de chiffrement
• Utilisez la commande suivante pour récupérer les informations KMS à partir de configstore

  configstorecli config current get -c 'vsan' -g 'system' -k 'vsan'

• Informations supplémentaires sur les commandes esxcli pour le(s) serveur(s) KMS :
  • Récupérer les informations de chiffrement vSAN

    esxcli vsan encryption info get

  • Récupérer les configurations KMS pour le chiffrement vSAN

    esxcli vsan encryption kms list

  • Récupérer la clé hôte à partir du cache de clés

    esxcli vsan encryption hostkey get

  • Récupérer les chemins d’accès aux fichiers de certificat de chiffrement sur les hôtes ESXi

    esxcli vsan encryption cert path list

  • Récupérer le contenu du certificat de serveur KMS à partir de l’hôte ESXi (similaire à « cat /etc/vmware/ssl/vsan_kms_castore.pem »)

    esxcli vsan encryption cert get

• Netcat peut être utilisé pour vérifier la connectivité avec l’hôte ESXi et KMS sur le port 5696 (port par défaut pour KMS)

  nc -z <kms-ip> 5696

• Pour vérifier l’état de la connexion KMS dans vSphere, sélectionnez l’instance du serveur vCenter dans la liste d’inventaire
  • Cliquez sur l’onglet Configurer , puis sur Fournisseurs de clés sous Sécurité 

• L’état du serveur KMS pour vCenter et les hôtes peut également être vérifié au niveau du cluster dans la liste d’inventaire vSphere
  • Cliquez sur l’onglet Surveiller, puis cliquez sur Intégrité Skyline sous vSAN
  • Dans Skyline Health,cliquez sur Encryption/Data-at-Rest Encryption , puis sur vCenter et tous les hôtes sont connectés aux serveurs de gestion des clés

Chiffrement vSAN au repos et en transit : Quelle est la différence ?


https://greatwhitetec.com/tag/encryption/Récupération
des informations sur vSAN Encryption KMShttps://greatwhitetec.com/tag/vsan-encryption/

Remplacement de vCenter Server lorsque le chiffrement vSAN est activé
https://knowledge.broadcom.com/external/article?legacyId=76306

Dépannage des problèmes de connectivité des ports TCP/UDP sur ESX/ESXi
https://knowledge.broadcom.com/external/article?legacyId=2020669

Ajouter un fournisseur de clés standard à l’aide de vSphere Client.


https://techdocs.broadcom.com/us/en/vmware-cis/vsphere/vsphere/7-0/vsphere-security-7-0/configuring-and-managing-a-standard-key-provider/set-up-the-key-management-server-cluster/add-a-kms-to-vcenter-server-in-the-vsphere-client.htmlComprendre le chiffrement vSAN - Traitement du profil KMSdépannagedes https://blogs.vmware.com/virtualblocks/2018/08/06/kms-profile-addressing/ de chiffrement
vSAN

Dépannage du chiffrement vSAN

https://knowledge.broadcom.com/external/article/326769/troubleshooting-vsan-encryption.html