Cloudlink:如何驗證 KMS 組態與連線狀態
Summary: Cloudlink:如何在 ESXi 主機和 vSphere UI 上使用 cli 以驗證 KMS 組態和連線狀態。
Instructions
- 在 vSAN 環境中使用 Cloudlink 作為 KMS 時,可使用下列命令行介面 (6.7 或更早版本) 擷取 ESXi 主機 (6.7 或更早版本) 上的 KMS 組態
esxcli vsan encryption kms list grep kmip /etc/vmware/esx.conf - 在 vSAN 7.0 及更新版本中,加密資訊將不再儲存在
esx.conffile - 在這些版本中,可透過以下方式取得 KMS 資訊:
configstore或具有以下內容esxcli vsan加密命令 - 使用下列命令從下列位置擷取 KMS 資訊:
configstoreconfigstorecli config current get -c 'vsan' -g 'system' -k 'vsan' - KMS 伺服器的其他 esxcli 命令資訊:
- 擷取 vSAN 加密資訊
esxcli vsan encryption info get - 擷取 vSAN 加密的 KMS 組態
esxcli vsan encryption kms list - 從金鑰快取中擷取主機金鑰
esxcli vsan encryption hostkey get - 擷取 ESXi 主機上的加密認證檔案路徑
esxcli vsan encryption cert path list - 從 ESXi 主機擷取 KMS 伺服器憑證內容 (類似於「cat /etc/vmware/ssl/vsan_kms_castore.pem」)
esxcli vsan encryption cert get
- 擷取 vSAN 加密資訊
- Netcat 可用來檢查透過連接埠 5696 (KMS 的預設連接埠) 與 ESXi 主機和 KMS 的連線能力
nc -z <kms-ip> 5696 - 若要在 vSphere 中檢查 KMS 連線狀態,請在清查清單中選取 vCenter 伺服器例項
- 按一下設定標籤,然後按一下安全性底下的金鑰提供者
- 您也可以從叢集層級的 vSphere 清查清單檢查 vCenter 和主機的 KMS 狀態
- 按一下監控標籤,然後按一下 vSAN 下的 Skyline 健全狀況
- 在 Skyline Health 中,按一下加密/待用資料加密,然後按一下 vCenter,且所有主機都連線至金鑰管理伺服器
Additional Information
vSAN 靜態加密和傳輸中加密:有什麼區別?
https://greatwhitetec.com/tag/encryption/vSAN 加密 KMS 資訊擷取
https://greatwhitetec.com/tag/vsan-encryption/
在啟用
vSAN 加密時更換 vCenter Serverhttps://knowledge.broadcom.com/external/article?legacyId=76306
故障診斷 ESX/ESXi
https://knowledge.broadcom.com/external/article?legacyId=2020669
上的網路和 TCP/UDP 連接埠連線問題 使用 vSphere 新增標準金鑰提供者顧客。
https://techdocs.broadcom.com/us/en/vmware-cis/vsphere/vsphere/7-0/vsphere-security-7-0/configuring-and-managing-a-standard-key-provider/set-up-the-key-management-server-cluster/add-a-kms-to-vcenter-server-in-the-vsphere-client.html瞭解 vSAN 加密 - KMS 設定檔定址故障診斷 vSAN 加密
https://blogs.vmware.com/virtualblocks/2018/08/06/kms-profile-addressing/
故障診斷 vSAN 加密
https://knowledge.broadcom.com/external/article/326769/troubleshooting-vsan-encryption.html