可以针对新的复制和现有复制的复制流量数据启用网络加密,以便增强数据传输的安全性。
如果您的 VMware Site Recovery 实例在 VMware Cloud on AWS SDDC 版本 1.13 或更高版本上,则您可以启用复制流量加密。
vSphere Replication 设备会在源 ESXi 主机上自动安装加密代理。网络加密使用安全传输协议 TLS v1.2。
加密复制流量在源 ESXi 主机与目标站点 vSphere Replication 服务器之间使用基于证书的双向身份验证。
配置或重新配置复制时,vSphere Replication 管理服务器 (VRMS) 会使用目标 vSphere Replication 服务器证书的指纹更新源虚拟机配置。VRMS 使用源站点中所有 ESXi 主机的证书在目标站点上注册每个 vSphere Replication 服务器。将为每个配对的 vSphere Replication 站点单独进行注册。
无论源 ESXi 主机和目标 vSphere Replication 服务器的证书颁发机构如何,VRMS 都会交换加密复制流量端点的叶证书的数据。
您可以在源 ESXi 主机上运行 shell 命令 esxcli software vib list
,并查找 vmware-hbr-agent VIB 以确保该代理在系统中可用。
启用网络加密功能时,代理会对源 ESXi 主机上的复制数据进行加密,并将其发送到目标站点上的 vSphere Replication 设备。vSphere Replication 服务器对数据进行解密并将其发送到目标数据存储。
未加密的流量将通过源 ESXi 主机上的端口 31031 和目标站点上的 vSphere Replication 设备。
加密流量将通过源 ESXi 主机上的端口 32032 和目标站点上的 vSphere Replication 设备。
如果为加密虚拟机配置复制,则网络加密会自动启用且无法停用。
启用网络加密对主机的 CPU 和内存资源的影响最小。启用网络加密将限制使用加密进行复制的每台主机的吞吐量。此限制仅适用于启用了加密的复制,不会影响未加密的复制。