Cloudlink: De KMS-configuratie en verbindingsstatus controleren
Summary: Cloudlink: KMS-configuratie en verbindingsstatus verifiëren met behulp van CLI op ESXi host en vSphere UI.
Instructions
- Wanneer u CloudLink gebruikt als KMS in een vSAN-omgeving, kan de KMS-configuratie op een ESXi-host (6.7 of lager) worden opgehaald met behulp van de volgende CLI-opdrachten
esxcli vsan encryption kms list grep kmip /etc/vmware/esx.conf - In vSAN 7.0 en hoger wordt versleutelingsinformatie niet langer opgeslagen in de
esx.confbestand - In deze versies kan KMS-informatie worden opgehaald met behulp van
configstoreof met het volgendeesxcli vsanVersleutelingsopdrachten - Gebruik de volgende opdracht om KMS-informatie op te halen uit
configstoreconfigstorecli config current get -c 'vsan' -g 'system' -k 'vsan' - Additional esxcli commands for KMS server(s) information:
- Informatie over vSAN-versleuteling ophalen
esxcli vsan encryption info get - KMS-configuraties ophalen voor vSAN-versleuteling
esxcli vsan encryption kms list - Hostsleutel ophalen uit de sleutelcache
esxcli vsan encryption hostkey get - Paden voor versleutelingscertificaatbestanden ophalen op de ESXi-hosts
esxcli vsan encryption cert path list - KMS-servercertificaatinhoud ophalen van de ESXi-host (vergelijkbaar met 'cat /etc/vmware/ssl/vsan_kms_castore.pem')
esxcli vsan encryption cert get
- Informatie over vSAN-versleuteling ophalen
- Netcat kan worden gebruikt om de connectiviteit met ESXi-host en KMS te controleren via poort 5696 (standaardpoort voor KMS)
nc -z <kms-ip> 5696 - Als u de KMS-verbindingsstatus in vSphere wilt controleren, selecteert u de vCenter-serverinstantie in de inventarislijst
- Klik op het tabblad Configure en klik vervolgens op Key Providers onder Security
- De KMS-status voor vCenter en hosts kan ook worden gecontroleerd op clusterniveau in de vSphere-inventarislijst
- Klik op het tabblad Monitor en klik vervolgens op Skyline Health onder vSAN
- Klik in Skyline Healthop Versleuteling/versleuteling van data-at-rest en vervolgens vCenter en alle hosts zijn verbonden met Key Management-servers
Additional Information
vSAN-versleuteling in rust en onderweg: Wat is het verschil?
https://greatwhitetec.com/tag/encryption/vSAN-versleuteling KMS-gegevens
ophalenhttps://greatwhitetec.com/tag/vsan-encryption/
vCenter Server vervangen wanneer vSAN-versleuteling is ingeschakeld
https://knowledge.broadcom.com/external/article?legacyId=76306
Problemen met netwerk- en TCP/UDP-poortconnectiviteit op ESX/ESXi
oplossenhttps://knowledge.broadcom.com/external/article?legacyId=2020669
Een Standard Key Provider toevoegen met behulp van de vSphere Klant.
https://techdocs.broadcom.com/us/en/vmware-cis/vsphere/vsphere/7-0/vsphere-security-7-0/configuring-and-managing-a-standard-key-provider/set-up-the-key-management-server-cluster/add-a-kms-to-vcenter-server-in-the-vsphere-client.htmlInzicht in vSAN Encryption - KMS Profile AddressingProblemen oplossen met vSAN Encryption
https://blogs.vmware.com/virtualblocks/2018/08/06/kms-profile-addressing/
Problemen met vSAN-versleuteling oplossen
https://knowledge.broadcom.com/external/article/326769/troubleshooting-vsan-encryption.html