Cloudlink：如何驗證 KMS 組態與連線狀態

• 在 vSAN 環境中使用 Cloudlink 作為 KMS 時，可使用下列命令行介面 （6.7 或更早版本） 擷取 ESXi 主機 （6.7 或更早版本） 上的 KMS 組態

  esxcli vsan encryption kms list
  grep kmip /etc/vmware/esx.conf 

• 在 vSAN 7.0 及更新版本中，加密資訊將不再儲存在 esx.conf file
• 在這些版本中，可透過以下方式取得 KMS 資訊： configstore 或具有以下內容 esxcli vsan 加密命令
• 使用下列命令從下列位置擷取 KMS 資訊： configstore

  configstorecli config current get -c 'vsan' -g 'system' -k 'vsan'

• KMS 伺服器的其他 esxcli 命令資訊：
  • 擷取 vSAN 加密資訊

    esxcli vsan encryption info get

  • 擷取 vSAN 加密的 KMS 組態

    esxcli vsan encryption kms list

  • 從金鑰快取中擷取主機金鑰

    esxcli vsan encryption hostkey get

  • 擷取 ESXi 主機上的加密認證檔案路徑

    esxcli vsan encryption cert path list

  • 從 ESXi 主機擷取 KMS 伺服器憑證內容 （類似於「cat /etc/vmware/ssl/vsan_kms_castore.pem」）

    esxcli vsan encryption cert get

• Netcat 可用來檢查透過連接埠 5696 （KMS 的預設連接埠） 與 ESXi 主機和 KMS 的連線能力

  nc -z <kms-ip> 5696

• 若要在 vSphere 中檢查 KMS 連線狀態，請在清查清單中選取 vCenter 伺服器例項
  • 按一下設定標籤，然後按一下安全性底下的金鑰提供者 

• 您也可以從叢集層級的 vSphere 清查清單檢查 vCenter 和主機的 KMS 狀態
  • 按一下監控標籤，然後按一下 vSAN 下的 Skyline 健全狀況
  • 在 Skyline Health 中，按一下加密/待用資料加密，然後按一下 vCenter，且所有主機都連線至金鑰管理伺服器

vSAN 靜態加密和傳輸中加密：有什麼區別？


https://greatwhitetec.com/tag/encryption/vSAN 加密 KMS 資訊擷取
https://greatwhitetec.com/tag/vsan-encryption/

在啟用
vSAN 加密時更換 vCenter Serverhttps://knowledge.broadcom.com/external/article?legacyId=76306

故障診斷 ESX/ESXi
https://knowledge.broadcom.com/external/article?legacyId=2020669

上的網路和 TCP/UDP 連接埠連線問題 使用 vSphere 新增標準金鑰提供者顧客。


https://techdocs.broadcom.com/us/en/vmware-cis/vsphere/vsphere/7-0/vsphere-security-7-0/configuring-and-managing-a-standard-key-provider/set-up-the-key-management-server-cluster/add-a-kms-to-vcenter-server-in-the-vsphere-client.html瞭解 vSAN 加密 - KMS 設定檔定址故障診斷 vSAN 加密
https://blogs.vmware.com/virtualblocks/2018/08/06/kms-profile-addressing/

故障診斷 vSAN 加密

https://knowledge.broadcom.com/external/article/326769/troubleshooting-vsan-encryption.html