CloudLink: Come verificare la configurazione KMS e lo stato della connessione

• Quando si utilizza CloudLink come KMS in un'ambiente vSAN, la configurazione KMS su un host ESXi (6.7 o versioni precedenti) può essere recuperata utilizzando i seguenti comandi CLI

  esxcli vsan encryption kms list
  grep kmip /etc/vmware/esx.conf 

• In vSAN 7.0 e versioni successive, le informazioni di crittografia non sono più archiviate in esx.conf file
• In tali versioni le informazioni KMS possono essere recuperate utilizzando configstore o con i seguenti esxcli vsan Comandi di crittografia
• Utilizzare il comando seguente per recuperare le informazioni del KMS da configstore

  configstorecli config current get -c 'vsan' -g 'system' -k 'vsan'

• Comandi esxcli aggiuntivi per informazioni sui server KMS:
  • Recupero delle informazioni di crittografia vSAN

    esxcli vsan encryption info get

  • Recupero delle configurazioni KMS per la crittografia vSAN

    esxcli vsan encryption kms list

  • Recupero della chiave host dalla keycache

    esxcli vsan encryption hostkey get

  • Recupero dei percorsi dei file di certificato di crittografia sugli host ESXi

    esxcli vsan encryption cert path list

  • Recupero del contenuto del certificato del server KMS dall'host ESXi (simile a "cat /etc/vmware/ssl/vsan_kms_castore.pem")

    esxcli vsan encryption cert get

• Netcat può essere utilizzato per verificare la connettività con host ESXi e KMS sulla porta 5696 (porta predefinita per KMS)

  nc -z <kms-ip> 5696

• Per controllare lo stato della connessione KMS in vSphere, selezionare l'istanza di vCenter Server nell'elenco dell'inventario.
  • Cliccare sulla scheda Configure, quindi cliccare su Key Providers in Security 

• In alternativa, lo stato del KMS per vCenter e gli host può essere controllato a livello di cluster nell'elenco dell'inventario vSphere
  • Cliccare sulla scheda Monitor, quindi su Skyline Health in vSAN
  • In Skyline Health, cliccare su Encryption/Data-at-rest Encryption, quindi su vCenter e su tutti gli host sono connessi ai server di gestione delle chiavi

Crittografia vSAN inattiva e in transito: Qual è la differenza?


https://greatwhitetec.com/tag/encryption/Recupero
delle informazioni KMS con crittografia vSANhttps://greatwhitetec.com/tag/vsan-encryption/

Sostituzione di vCenter Server quando la crittografia vSAN è abilitata
https://knowledge.broadcom.com/external/article?legacyId=76306

Risoluzione dei problemi di connettività di rete e delle porte TCP/UDP su ESX/ESXi
https://knowledge.broadcom.com/external/article?legacyId=2020669

Aggiunta di un provider di chiavi standard mediante vSphere Cliente.


https://techdocs.broadcom.com/us/en/vmware-cis/vsphere/vsphere/7-0/vsphere-security-7-0/configuring-and-managing-a-standard-key-provider/set-up-the-key-management-server-cluster/add-a-kms-to-vcenter-server-in-the-vsphere-client.htmlInformazioni sulla crittografia vSAN - Indirizzamento del profilo KMS Risoluzione dei problemi di crittografia
vSANhttps://blogs.vmware.com/virtualblocks/2018/08/06/kms-profile-addressing/

Risoluzione dei problemi di crittografia vSAN

https://knowledge.broadcom.com/external/article/326769/troubleshooting-vsan-encryption.html