CloudLink: Como verificar a configuração do KMS e o status da conexão

• Ao usar o Cloudlink como KMS em um ambiente vSAN, a configuração do KMS em um host do ESXi (6.7 ou anterior) pode ser recuperada usando os seguintes comandos da CLI

  esxcli vsan encryption kms list
  grep kmip /etc/vmware/esx.conf 

• No vSAN 7.0 e versões posteriores, as informações de criptografia não são mais armazenadas no esx.conf arquivo
• Nessas versões, as informações do KMS podem ser recuperadas usando: configstore ou com o seguinte esxcli vsan Comandos de criptografia
• Use o seguinte comando para recuperar informações do KMS de configstore

  configstorecli config current get -c 'vsan' -g 'system' -k 'vsan'

• Comandos esxcli adicionais para informações de servidor(es) KMS:
  • Recuperar informações de criptografia do vSAN

    esxcli vsan encryption info get

  • Recuperar configurações de KMS para criptografia do vSAN

    esxcli vsan encryption kms list

  • Recuperar chave de host do keycache

    esxcli vsan encryption hostkey get

  • Recuperar caminhos de arquivo de certificado de criptografia nos hosts do ESXi

    esxcli vsan encryption cert path list

  • Recupere o conteúdo do certificado do servidor KMS do host do ESXi (semelhante a 'cat /etc/vmware/ssl/vsan_kms_castore.pem')

    esxcli vsan encryption cert get

• O Netcat pode ser usado para verificar a conectividade com o host do ESXi e o KMS pela porta 5696 (porta padrão para KMS)

  nc -z <kms-ip> 5696

• Para verificar o status da conexão KMS no vSphere, selecione a instância do vCenter Server na lista de inventário
  • Clique na guia Configurar e, em seguida, clique em Principais Provedores em Segurança 

• Como alternativa, é possível verificar o status do KMS do vCenter e dos hosts no nível do cluster na lista de inventário do vSphere
  • Clique na guia Monitor e, em seguida, clique em Skyline Health em vSAN
  • No Skyline Health, clique em Encryption/Data-at-rest Encryption e, em seguida, o vCenter e todos os hosts são conectados aos servidores de gerenciamento de chaves

Criptografia do vSAN em repouso e em trânsito: Qual a diferença?


https://greatwhitetec.com/tag/encryption/Recuperação de informações
do KMS para criptografia vSANhttps://greatwhitetec.com/tag/vsan-encryption/

Substituindo o vCenter Server quando a criptografia vSAN está ativada
https://knowledge.broadcom.com/external/article?legacyId=76306

Solução de problemas de conectividade de rede e porta TCP/UDP no ESX/ESXi
https://knowledge.broadcom.com/external/article?legacyId=2020669

Adicionar um provedor de chaves padrão usando o vSphere Cliente.


https://techdocs.broadcom.com/us/en/vmware-cis/vsphere/vsphere/7-0/vsphere-security-7-0/configuring-and-managing-a-standard-key-provider/set-up-the-key-management-server-cluster/add-a-kms-to-vcenter-server-in-the-vsphere-client.htmlNoções básicas sobre criptografia vSAN – endereçamento de perfil KMSubssolucionando problemasde https://blogs.vmware.com/virtualblocks/2018/08/06/kms-profile-addressing/ de criptografia
vSAN

Solução de problemas de criptografia do vSAN

https://knowledge.broadcom.com/external/article/326769/troubleshooting-vsan-encryption.html