Хмарне посилання: Як перевірити конфігурацію KMS і статус підключення

• Під час використання Cloudlink як KMS у середовищі vSAN конфігурацію KMS на хості ESXi (6.7 або раніша) можна отримати за допомогою наведених нижче команд cli

  esxcli vsan encryption kms list
  grep kmip /etc/vmware/esx.conf 

• У vSAN 7.0 і вище інформація про шифрування більше не зберігається в esx.conf файл
• У цих версіях інформацію KMS можна отримати за допомогою configstore або з наступними esxcli vsan Команди шифрування
• Скористайтеся наведеною нижче командою, щоб отримати інформацію про KMS з configstore

  configstorecli config current get -c 'vsan' -g 'system' -k 'vsan'

• Додаткові команди esxcli для інформації про сервер(и) KMS:
  • Отримання інформації про шифрування vSAN

    esxcli vsan encryption info get

  • Отримання конфігурацій KMS для шифрування vSAN

    esxcli vsan encryption kms list

  • Отримання ключа хоста з кешу ключів

    esxcli vsan encryption hostkey get

  • Отримання шляхів до файлів сертифікатів шифрування на хостів ESXi

    esxcli vsan encryption cert path list

  • Отримання вмісту сертифіката KMS-сервера з хоста ESXi (подібно до 'cat /etc/vmware/ssl/vsan_kms_castore.pem')

    esxcli vsan encryption cert get

• Netcat можна використовувати для перевірки з'єднання з хостом ESXi та KMS через порт 5696 (порт за замовчуванням для KMS)

  nc -z <kms-ip> 5696

• Щоб перевірити стан з'єднання KMS у vSphere, виберіть екземпляр сервера vCenter у списку інвентаризації
  • Перейдіть на вкладку Налаштування , а потім виберіть пункт Постачальники ключів у розділі Безпека 

• Статус KMS для vCenter та хостів можна також перевірити на рівні кластера у списку інвентарю vSphere
  • Перейдіть на вкладку Монітор, а потім виберіть пункт Здоров'я Skyline у розділі vSAN
  • У Skyline Healthнатисніть Encryption/Data-at-rest Encryption , а потім vCenter і всі хости підключені до серверів керування ключами

Шифрування vSAN у стані спокою та під час передавання: У чому різниця?


https://greatwhitetec.com/tag/encryption/Отримання
інформації про KMS із шифруванням vSANhttps://greatwhitetec.com/tag/vsan-encryption/

Заміна сервера vCenter при ввімкненому
використанні шифрування vSANhttps://knowledge.broadcom.com/external/article?legacyId=76306

Усунення проблем із підключенням мережі та порту TCP/UDP на ESX/ESXi
https://knowledge.broadcom.com/external/article?legacyId=2020669

Додайте постачальника стандартних ключів за допомогою vSphere Клієнт.


https://techdocs.broadcom.com/us/en/vmware-cis/vsphere/vsphere/7-0/vsphere-security-7-0/configuring-and-managing-a-standard-key-provider/set-up-the-key-management-server-cluster/add-a-kms-to-vcenter-server-in-the-vsphere-client.htmlРозуміння шифрування vSAN - Адресація профілю KMSКІМУсунення несправностейhttps://blogs.vmware.com/virtualblocks/2018/08/06/kms-profile-addressing/ шифрування
vSAN

Усунення несправностей шифрування vSAN

https://knowledge.broadcom.com/external/article/326769/troubleshooting-vsan-encryption.html