CloudLink: Jak sprawdzić konfigurację KMS i stan połączenia

• W przypadku korzystania z CloudLink jako KMS w środowisku vSAN konfigurację KMS na hoście ESXi (w wersji 6.7 lub starszej) można pobrać za pomocą następujących poleceń CLI

  esxcli vsan encryption kms list
  grep kmip /etc/vmware/esx.conf 

• W wersji vSAN 7.0 i nowszych informacje o szyfrowaniu nie są już przechowywane w esx.conf file
• W tych wersjach informacje o usłudze KMS można pobrać za pomocą configstore lub z następującymi esxcli vsan Polecenia szyfrowania
• Użyj następującego polecenia, aby pobrać informacje KMS z configstore

  configstorecli config current get -c 'vsan' -g 'system' -k 'vsan'

• Dodatkowe polecenia esxcli dla informacji o serwerach KMS:
  • Pobieranie informacji o szyfrowaniu vSAN

    esxcli vsan encryption info get

  • Pobieranie konfiguracji KMS do szyfrowania vSAN

    esxcli vsan encryption kms list

  • Pobierz klucz hosta z pamięci podręcznej kluczy

    esxcli vsan encryption hostkey get

  • Pobieranie ścieżek pliku certyfikatu szyfrowania na hostach ESXi

    esxcli vsan encryption cert path list

  • Pobierz zawartość certyfikatu serwera KMS z hosta ESXi (podobnie jak w przypadku "cat /etc/vmware/ssl/vsan_kms_castore.pem")

    esxcli vsan encryption cert get

• Za pomocą programu Netcat można sprawdzić łączność z hostem ESXi i usługą KMS przez port 5696 (domyślny port dla serwera KMS)

  nc -z <kms-ip> 5696

• Aby sprawdzić stan połączenia KMS w vSphere, wybierz instancję serwera vCenter Server z listy zasobów
  • Kliknij kartę Konfiguruj , a następnie kliknij opcję Key Providers w obszarze Security 

• Stan usługi KMS dla vCenter i hostów można również sprawdzić na poziomie klastra na liście zasobów vSphere
  • Kliknij kartę Monitor, a następnie Skyline Health w obszarze vSAN
  • W Skyline Healthkliknij opcję Encryption/Data-at-rest Encryption , a następnie vCenter i wszystkie hosty są połączone z serwerami zarządzania kluczami

Szyfrowanie vSAN w spoczynku i podczas przesyłania: Jaka jest różnica?


https://greatwhitetec.com/tag/encryption/Szyfrowanie vSAN Pobieranie
informacji o usłudze KMShttps://greatwhitetec.com/tag/vsan-encryption/

Wymiana serwera vCenter Server przy włączonym
szyfrowaniu vSANhttps://knowledge.broadcom.com/external/article?legacyId=76306

Rozwiązywanie problemów z siecią i łącznością portu TCP/UDP w ESX/ESXi
https://knowledge.broadcom.com/external/article?legacyId=2020669

Dodawanie standardowego dostawcy kluczy za pomocą vSphere Klient.


https://techdocs.broadcom.com/us/en/vmware-cis/vsphere/vsphere/7-0/vsphere-security-7-0/configuring-and-managing-a-standard-key-provider/set-up-the-key-management-server-cluster/add-a-kms-to-vcenter-server-in-the-vsphere-client.htmlOpis szyfrowania vSAN — adresowanie profilu usługi KMSrozwiązywanie problemów z szyfrowaniem
vSANhttps://blogs.vmware.com/virtualblocks/2018/08/06/kms-profile-addressing/

Rozwiązywanie problemów z szyfrowaniem vSAN

https://knowledge.broadcom.com/external/article/326769/troubleshooting-vsan-encryption.html