在 vSphere 7.0 Update 2 及更高版本中,即使密钥服务器暂时脱机或不可用,加密的虚拟机和虚拟 TPM 也可以继续运行(可选)。ESXi 主机可以保留加密密钥,以继续执行加密和 vTPM 操作。

在 vSphere 7.0 Update 2 之前,密钥服务器必须始终可用加密虚拟机和 vTPM 才能正常工作。在 vSphere 7.0 Update 2 及更高版本中,即使对密钥服务器的访问中断,加密设备也可以正常运行。

从 vSphere 7.0 Update 3 开始,即使对密钥提供程序的访问中断,加密 vSAN 集群也可以正常运行。

注: 使用 vSphere Native Key Provider 时,不需要密钥持久性。vSphere Native Key Provider 设计为即时可用,无需访问密钥服务器即可运行。请参见以下部分:“密钥持久性和 vSphere Native Key Provider”。

ESXi 主机上的密钥持久性

使用标准密钥提供程序时,ESXi 主机依靠 vCenter Server 来管理加密密钥。使用可信密钥提供程序时,ESXi 主机直接依靠 Trust Authority 主机获取密钥,并不涉及 vCenter Server

无论密钥提供程序是何种类型,ESXi 主机最初都会获取密钥,并将其保留在其密钥缓存中。如果 ESXi 主机重新引导,它将丢失其密钥缓存。然后,ESXi 主机再次向密钥服务器(标准密钥提供程序)或 Trust Authority 主机(可信密钥提供程序)请求密钥。当 ESXi 主机尝试获取密钥时,如果密钥服务器处于脱机状态或无法访问,则 vTPMs 和工作负载加密将无法正常运行。对于 Edge 式部署(通常站点上未部署密钥服务器),与密钥服务器的连接中断可能会导致加密工作负载不必要地停止。

在 vSphere 7.0 Update 2 及更高版本中,即使密钥服务器处于脱机状态或无法访问,加密工作负载也可以继续工作。如果 ESXi 主机具有 TPM,即使重新引导,加密密钥也会保留在 TPM 中。因此,即使 ESXi 主机重新引导,主机也无需请求加密密钥。此外,当密钥服务器不可用时,仍然可以继续进行加密和解密操作,因为密钥保留在 TPM 中。从本质上说,当密钥服务器或 Trust Authority 主机不可用时,您可以继续“无密钥服务器”运行加密工作负载。此外,即使密钥服务器无法访问,vTPM 也可以继续运行。

密钥持久性和 vSphere Native Key Provider

使用 vSphere Native Key Provider 时,vSphere 会生成加密密钥,而无需使用密钥服务器。ESXi 主机获取密钥派生密钥 (KDK),该密钥用于派生其他密钥。收到 KDK 并生成其他密钥后,ESXi 主机无需访问 vCenter Server,即可执行加密操作。从本质上说,vSphere Native Key Provider 始终“无密钥服务器”运行。

默认情况下,即使 ESXi 主机重新引导,甚至 vCenter Server 在主机重新引导后不可用时,KDK 仍会保留在主机上。

您可以使用 vSphere Native Key Provider 激活密钥持久性,但通常无需执行此操作。ESXi 主机可完全访问 vSphere Native Key Provider,因此额外的密钥持久性是冗余的。使用 vSphere Native Key Provider 激活密钥持久性的一个用例是,当您还配置了标准密钥提供程序(外部 KMIP 服务器)时。

如何设置密钥持久性

要启用或禁用密钥持久性,请参见在 ESXi 主机上启用和禁用密钥持久性