标准密钥提供程序加密流程

可信密钥提供程序加密过程流

vSphere Trust Authority 加密过程流包括 vSphere Trust Authority 服务、可信密钥提供程序、vCenter Server 和 ESXi 主机。

使用可信密钥提供程序对虚拟机进行加密与使用标准密钥提供程序时的虚拟机加密用户体验看起来一样。vSphere Trust Authority 下的虚拟机加密继续依赖于虚拟机加密存储策略或是否存在 vTPM 设备来决定何时加密虚拟机。从 vSphere Client 加密虚拟机时，仍使用配置的默认密钥提供程序（在 vSphere 6.5 和 6.7 中称为 KMS 集群）。此外，仍然可以通过与手动指定密钥提供程序类似的方式使用 API。为 vSphere 6.5 添加的现有加密特权在 vSphere 7.0 中仍与 vSphere Trust Authority 相关。

可信密钥提供程序与标准密钥提供程序的加密过程具有重要差异：

• 在为 vCenter Server 实例设置密钥服务器时，Trust Authority 管理员不会直接指定信息，并且不会建立密钥服务器信任。而是，vSphere Trust Authority 发布受信任主机可以使用的可信密钥提供程序。

• vCenter Server 不再向 ESXi 主机推送密钥，而是将每个可信密钥提供程序视为单个顶级密钥。
• 只有受信任主机可以从 Trust Authority 主机请求加密操作。

vSphere Native Key Provider 加密过程流

从 vSphere 7.0 Update 2 开始，vSphere 中包含了 vSphere Native Key Provider。配置 vSphere Native Key Provider 时，vCenter Server 会将主密钥推送到集群中的所有 ESXi 主机。同样，如果更新或删除 vSphere Native Key Provider，更改将推送到集群中的主机。加密过程流程类似于可信密钥提供程序的工作方式。区别在于，vSphere Native Key Provider 会生成密钥，并使用主密钥对其进行封装，然后归还密钥以执行加密。

密钥服务器的自定义属性

密钥管理互操作协议 (KMIP) 支持添加用于供应商特定用途的自定义属性。自定义属性使您能够更具体地识别密钥服务器中存储的密钥。vCenter Server 为虚拟机密钥和主机密钥添加以下自定义属性。

密钥服务器创建密钥时，vCenter Server 将添加 x-Vendor、x-Product 和 x-Product_Version 属性。使用密钥对虚拟机或主机进行加密时，vCenter Server 将设置 x-Component、x-Identifier 和 x-Name 属性。您或许能够在密钥服务器用户界面中查看这些自定义属性。请咨询密钥服务器供应商。

主机密钥和虚拟机密钥都具有六个自定义属性。这两种密钥的 x-Vendor、x-Product 和 x-Product_Version 可能相同。这些属性在生成密钥时进行设置。根据密钥是否用于虚拟机或主机，可能会附加 x-Component、x-Identifier 和 x-Name 属性。

密钥错误

如果将密钥从密钥服务器发送到 ESXi 主机时出错，vCenter Server 会在事件日志中针对以下事件生成一条消息：

• 由于主机连接或主机支持问题，向 ESXi 主机添加密钥失败。
• 由于密钥服务器中缺少密钥，从密钥服务器获取密钥失败。
• 由于密钥服务器连接，从密钥服务器获取密钥失败。

解密加密的虚拟机

如果稍后要解密加密的虚拟机，请更改其存储策略。您可以更改虚拟机及所有磁盘的存储策略。如果要解密单独的组件，先解密选定的磁盘，然后通过更改虚拟机主页的存储策略解密虚拟机。解密每个组件都需要两种密钥。请参见解密加密虚拟机或虚拟磁盘。