可以从 vSphere Client 将密钥管理服务器 (KMS) 添加到您的 vCenter Server 系统。

vCenter Server 在您添加首个 KMS 实例时创建 KMS 群集。如果在两个或多个 vCenter Server 上配置 KMS 群集,请确保使用相同的 KMS 群集名称。

注: 请勿在计划加密的 vSAN 群集上部署 KMS 服务器。如果出现故障, vSAN 群集中的主机必须与 KMS 通信。
  • 添加 KMS 时,系统会提示您将此群集设置为默认群集。您稍后可以明确更改此默认群集。
  • vCenter Server 创建第一个群集后,可以将来自相同供应商的 KMS 实例添加到群集,然后配置所有 KMS 实例以在这些实例之间同步密钥。使用您的 KMS 供应商提供的方法。
  • 您可以设置只有一个 KMS 实例的群集。
  • 如果您的环境支持来自不同供应商的 KMS 解决方案,则您可以添加多个 KMS 群集。

前提条件

  • 确认密钥服务器位于 vSphere 兼容性列表 中,且符合 KMIP 1.1。
  • 确认您具有所需特权:Cryptographer.ManageKeyServers
  • 不支持仅使用 IPv6 地址连接到 KMS。
  • 不支持通过需要用户名或密码的代理服务器连接到 KMS。

过程

  1. 登录到 vCenter Server
  2. 浏览清单列表,然后选择 vCenter Server 实例。
  3. 依次单击配置密钥管理服务器
  4. 单击添加,在向导中指定 KMS 信息,然后单击添加
    选项
    KMS 群集 选择创建新群集以创建一个新群集。如果存在一个群集,您可以选择该群集。
    群集名称 KMS 群集的名称。如果 vCenter Server 实例不可用,您可以使用此名称连接到 KMS。
    服务器别名 KMS 的别名。如果 vCenter Server 实例不可用,您可以使用此别名连接到 KMS。
    服务器地址 KMS 的 IP 地址或 FQDN。
    服务器端口 vCenter Server 连接到 KMS 的端口。
    代理地址 连接到 KMS 的可选代理地址。
    代理端口 连接到 KMS 的可选代理端口。
    用户名 一些 KMS 供应商允许用户通过指定用户名和密码来隔离不同用户或组使用的加密密钥。仅当您的 KMS 支持此功能且您准备使用时指定用户名。
    密码 一些 KMS 供应商允许用户通过指定用户名和密码来隔离不同用户或组使用的加密密钥。仅当您的 KMS 支持此功能且您准备使用时指定密码。