CloudLink. Как проверить конфигурацию KMS и состояние подключения

• При использовании CloudLink в качестве KMS в среде vSAN конфигурацию KMS на хосте ESXi (6.7 или более ранней версии) можно получить с помощью следующих команд интерфейса командной строки

  esxcli vsan encryption kms list
  grep kmip /etc/vmware/esx.conf 

• В vSAN 7.0 и более поздних версиях информация о шифровании больше не хранится в esx.conf file
• В этих версиях информацию KMS можно получить с помощью configstore или с помощью следующего esxcli vsan Команды шифрования
• Используйте следующую команду для получения информации KMS из configstore

  configstorecli config current get -c 'vsan' -g 'system' -k 'vsan'

• Дополнительные команды esxcli для информации о сервере (серверах) KMS:
  • Извлечение информации о шифровании vSAN

    esxcli vsan encryption info get

  • Извлечение конфигураций KMS для шифрования vSAN

    esxcli vsan encryption kms list

  • Извлечение ключа хоста из кэша ключей

    esxcli vsan encryption hostkey get

  • Извлечение путей к файлам сертификатов шифрования на хостах ESXi

    esxcli vsan encryption cert path list

  • Получение содержимого сертификата сервера KMS с хоста ESXi (аналогично cat /etc/vmware/ssl/vsan_kms_castore.pem)

    esxcli vsan encryption cert get

• Netcat можно использовать для проверки подключения к хосту ESXi и KMS через порт 5696 (порт по умолчанию для KMS)

  nc -z <kms-ip> 5696

• Чтобы проверить состояние подключения KMS в vSphere, выберите экземпляр сервера vCenter Server в списке инвентаризации.
  • Перейдите на вкладку Настроить и выберите Поставщики ключей в разделе Безопасность 

• Состояние KMS для vCenter и хостов можно также проверить на уровне кластера в списке инвентаризации vSphere
  • Перейдите на вкладку Monitor, а затем выберите Skyline Health в разделе vSAN
  • В Skyline Health нажмите Encryption/Data-at-rest Encryption,а затем vCenter и все хосты будут подключены к серверам управления ключами

Шифрование vSAN при хранении и передаче: В чем разница?


https://greatwhitetec.com/tag/encryption/Шифрование vSAN Получение
информации KMShttps://greatwhitetec.com/tag/vsan-encryption/

замена vCenter Server при включенном
шифровании vSANhttps://knowledge.broadcom.com/external/article?legacyId=76306

Поиск и устранение неполадок подключения к сети и портам TCP/UDP в ESX/ESXi
https://knowledge.broadcom.com/external/article?legacyId=2020669

Добавление стандартного поставщика ключей с помощью vSphere Клиент.


https://techdocs.broadcom.com/us/en/vmware-cis/vsphere/vsphere/7-0/vsphere-security-7-0/configuring-and-managing-a-standard-key-provider/set-up-the-key-management-server-cluster/add-a-kms-to-vcenter-server-in-the-vsphere-client.htmlОбщие сведения о шифровании vSAN — адресация профиля KMSПополучательhttps://blogs.vmware.com/virtualblocks/2018/08/06/kms-profile-addressing/ шифрования vSAN

Поиск и устранение неисправностей шифрования vSAN

https://knowledge.broadcom.com/external/article/326769/troubleshooting-vsan-encryption.html