Cloudlink：如何验证 KMS 配置和连接状态

• 在 vSAN 环境中将 CloudLink 用作 KMS 时，可以使用以下 cli 命令检索 ESXi 主机（6.7 或更低版本）上的 KMS 配置

  esxcli vsan encryption kms list
  grep kmip /etc/vmware/esx.conf 

• 在 vSAN 7.0 及更高版本中，加密信息不再存储在 esx.conf file
• 在这些版本中，可以使用以下命令检索 KMS 信息 configstore 或包含以下内容 esxcli vsan 加密命令
• 使用以下命令从 检索 KMS 信息 configstore

  configstorecli config current get -c 'vsan' -g 'system' -k 'vsan'

• 用于 KMS 服务器信息的其他 esxcli 命令：
  • 检索 vSAN 加密信息

    esxcli vsan encryption info get

  • 检索用于 vSAN 加密的 KMS 配置

    esxcli vsan encryption kms list

  • 从密钥缓存中检索主机密钥

    esxcli vsan encryption hostkey get

  • 检索 ESXi 主机上的加密证书文件路径

    esxcli vsan encryption cert path list

  • 从 ESXi 主机检索 KMS 服务器证书内容（类似于“cat /etc/vmware/ssl/vsan_kms_castore.pem”）

    esxcli vsan encryption cert get

• Netcat 可用于通过端口 5696（KMS 的默认端口）检查与 ESXi 主机和 KMS 的连接

  nc -z <kms-ip> 5696

• 要在 vSphere 中检查 KMS 连接状态，请在清单列表中选择 vCenter Server 实例
  • 单击配置选项卡，然后单击安全性下的密钥提供程序 

• 或者，也可以在 vSphere 清单列表中的群集级别检查 vCenter 和主机的 KMS 状态
  • 单击监视选项卡，然后单击 vSAN 下的 Skyline 运行状况
  • 在 Skyline Health 中，单击 Encryption/Data-at-rest Encryption，然后将 vCenter 和所有主机连接到密钥管理服务器

vSAN 静态和传输中加密：有什么区别？


https://greatwhitetec.com/tag/encryption/vSAN 加密 KMS 信息检索
https://greatwhitetec.com/tag/vsan-encryption/

启用 vSAN 加密
时更换 vCenter Serverhttps://knowledge.broadcom.com/external/article?legacyId=76306

ESX/ESXi
上的网络和 TCP/UDP 端口连接问题故障处理https://knowledge.broadcom.com/external/article?legacyId=2020669

使用 vSphere 添加标准密钥提供程序客户。


https://techdocs.broadcom.com/us/en/vmware-cis/vsphere/vsphere/7-0/vsphere-security-7-0/configuring-and-managing-a-standard-key-provider/set-up-the-key-management-server-cluster/add-a-kms-to-vcenter-server-in-the-vsphere-client.html了解 vSAN 加密 — KMS 配置文件寻址https://blogs.vmware.com/virtualblocks/2018/08/06/kms-profile-addressing/ vSAN 加密
故障排除

vSAN 加密故障处理

https://knowledge.broadcom.com/external/article/326769/troubleshooting-vsan-encryption.html