Cloudlink: Så här verifierar du KMS-konfiguration och anslutningsstatus

• När Cloudlink används som KMS i en vSAN-miljö kan KMS-konfiguration på en ESXi-värd (6.7 eller tidigare) hämtas med hjälp av följande CLI-kommandon

  esxcli vsan encryption kms list
  grep kmip /etc/vmware/esx.conf 

• I vSAN 7.0 och senare lagras inte längre krypteringsinformation i esx.conf fil
• I dessa versioner kan KMS-information hämtas med hjälp av configstore eller med följande esxcli vsan Krypteringskommandon
• Använd följande kommando för att hämta KMS-information från configstore

  configstorecli config current get -c 'vsan' -g 'system' -k 'vsan'

• Ytterligare esxcli-kommandon för information om KMS-servrar:
  • Hämta vSAN-krypteringsinformation

    esxcli vsan encryption info get

  • Hämta KMS-konfigurationer för vSAN-kryptering

    esxcli vsan encryption kms list

  • Hämta värdnyckel från nyckelcachen

    esxcli vsan encryption hostkey get

  • Hämta sökvägar för krypteringscertifikatfiler på ESXi-värdarna

    esxcli vsan encryption cert path list

  • Hämta innehållet i KMS-servercertifikatet från ESXi-värden (liknar "cat /etc/vmware/ssl/vsan_kms_castore.pem")

    esxcli vsan encryption cert get

• Netcat kan användas för att kontrollera anslutningen till ESXi-värden och KMS över port 5696 (standardport för KMS)

  nc -z <kms-ip> 5696

• Om du vill kontrollera KMS-anslutningsstatus i vSphere väljer du vCenter-serverinstansen i inventeringslistan
  • Klicka på fliken Konfigurera och sedan på Nyckelprovidrar under Säkerhet 

• KMS-status för vCenter och värdar kan också kontrolleras på klusternivå i vSphere-inventeringslistan
  • Klicka på fliken Bildskärm och sedan på Skyline Health under vSAN
  • I Skyline Health klickar du på Kryptering/Kryptering av vilande data och sedan på vCenter och alla värdar ansluts till Key Management-servrarna

vSAN-kryptering i vila och under överföring: Vad är skillnaden?


https://greatwhitetec.com/tag/encryption/Hämtning
av KMS-information för vSAN-krypteringhttps://greatwhitetec.com/tag/vsan-encryption/

Byta ut vCenter-servern när vSAN-kryptering är aktiverad
https://knowledge.broadcom.com/external/article?legacyId=76306

Felsöka anslutningsproblem för nätverk och TCP/UDP-portar på ESX/ESXi-https://knowledge.broadcom.com/external/article?legacyId=2020669


Lägga till en standardnyckelprovider med hjälp av vSphere Klient.


https://techdocs.broadcom.com/us/en/vmware-cis/vsphere/vsphere/7-0/vsphere-security-7-0/configuring-and-managing-a-standard-key-provider/set-up-the-key-management-server-cluster/add-a-kms-to-vcenter-server-in-the-vsphere-client.htmlFörstå vSAN-kryptering – KMS-profiladresseringFelsöka vSAN-kryptering
https://blogs.vmware.com/virtualblocks/2018/08/06/kms-profile-addressing/

Felsöka vSAN-kryptering

https://knowledge.broadcom.com/external/article/326769/troubleshooting-vsan-encryption.html