Cloudlink: Sådan kontrolleres KMS-konfiguration og forbindelsesstatus

• Når du bruger Cloudlink som KMS i et vSAN-miljø, kan KMS-konfigurationen på en ESXi-vært (6.7 eller tidligere) hentes ved hjælp af følgende cli-kommandoer

  esxcli vsan encryption kms list
  grep kmip /etc/vmware/esx.conf 

• I vSAN 7.0 og derover gemmes krypteringsoplysninger ikke længere i esx.conf fil
• I disse versioner kan KMS-oplysninger hentes ved hjælp af configstore eller med følgende: esxcli vsan Krypteringskommandoer
• Brug følgende kommando til at hente KMS-oplysninger fra configstore

  configstorecli config current get -c 'vsan' -g 'system' -k 'vsan'

• Yderligere esxcli-kommandoer til KMS-server(e)-oplysninger:
  • Hent oplysninger om vSAN-kryptering

    esxcli vsan encryption info get

  • Hent KMS-konfigurationer til vSAN-kryptering

    esxcli vsan encryption kms list

  • Hent værtsnøgle fra keycachen

    esxcli vsan encryption hostkey get

  • Hent filstier til krypteringscertifikater på ESXi-værterne

    esxcli vsan encryption cert path list

  • Hent KMS-servercertifikatindhold fra ESXi-værten (ligner 'cat /etc/vmware/ssl/vsan_kms_castore.pem')

    esxcli vsan encryption cert get

• Netcat kan bruges til at kontrollere forbindelsen med ESXi-vært og KMS over port 5696 (standardport til KMS)

  nc -z <kms-ip> 5696

• Hvis du vil kontrollere status for KMS-forbindelsen i vSphere, skal du vælge vCenter-serverforekomsten på lagerlisten
  • Klik på fanen Konfigurer , og klik derefter på Nøgleudbydere under Sikkerhed 

• KMS-status for vCenter og værter kan alternativt kontrolleres på klyngeniveau på vSphere-lagerlisten
  • Klik på fanen Skærm, og klik derefter på Skyline Health under vSAN
  • I Skyline Healthskal du klikke på Kryptering/data-at-rest-kryptering og derefter på vCenter, og alle værter er forbundet til Key Management-servere

vSAN-kryptering i hvile og under overførsel: Hvad er forskellen?


https://greatwhitetec.com/tag/encryption/vSAN-kryptering KMS-infohentning
https://greatwhitetec.com/tag/vsan-encryption/

Udskiftning af vCenter-server, når vSAN-kryptering er aktiveret
https://knowledge.broadcom.com/external/article?legacyId=76306

Fejlfinding af problemer med netværks- og TCP/UDP-portforbindelse på ESX/ESXi-https://knowledge.broadcom.com/external/article?legacyId=2020669


Tilføj en standardnøgleudbyder ved hjælp af vSphere Kunde.


https://techdocs.broadcom.com/us/en/vmware-cis/vsphere/vsphere/7-0/vsphere-security-7-0/configuring-and-managing-a-standard-key-provider/set-up-the-key-management-server-cluster/add-a-kms-to-vcenter-server-in-the-vsphere-client.htmlOm vSAN-kryptering – KMS-profiladresseringFejlfindingaf vSAN-kryptering
https://blogs.vmware.com/virtualblocks/2018/08/06/kms-profile-addressing/

Fejlfinding i vSAN-kryptering

https://knowledge.broadcom.com/external/article/326769/troubleshooting-vsan-encryption.html