根据您使用的密钥提供程序、外部密钥服务器、vCenter Server 系统和 ESXi 主机可能会影响加密解决方案。

以下组件包括 vSphere 虚拟机加密

  • 外部密钥服务器,也称为 KMS(vSphere Native Key Provider 不需要 KMS)
  • vCenter Server
  • ESXi 主机

密钥服务器

密钥服务器是与密钥提供程序相关联的密钥管理互操作性协议 (Key Management Interoperability) 管理服务器。标准密钥提供程序和可信密钥提供程序需要密钥服务器。vSphere Native Key Provider 不需要密钥服务器。下表介绍了密钥提供程序和密钥服务器交互之间的差异。

表 1. 密钥提供程序和密钥服务器交互
密钥提供程序 与密钥服务器的交互
标准密钥提供程序 标准密钥提供程序使用 vCenter Server 从密钥服务器请求密钥。密钥服务器将生成并存储密钥,然后将密钥传递给 vCenter Server 以分发到 ESXi 主机。
可信密钥提供程序 可信密钥提供程序使用密钥提供程序服务,该服务允许可信 ESXi 主机直接获取密钥。请参见什么是 vSphere Trust Authority 密钥提供程序服务
vSphere Native Key Provider vSphere Native Key Provider 不需要密钥服务器。vCenter Server 生成主密钥,并将其推送到 ESXi 主机。然后,ESXi 主机生成数据加密密钥(即使未连接到 vCenter Server)。请参见vSphere Native Key Provider 概览

可以使用 vSphere Client 或 vSphere API 将密钥提供程序实例添加到 vCenter Server 系统。如果使用多个密钥提供程序实例,所有实例必须来自同一家供应商,并且必须复制密钥。

如果您的环境在不同的环境中使用不同的密钥服务器供应商,您可以为每个密钥服务器添加密钥提供程序并指定默认密钥提供程序。所添加的第一个密钥提供程序将成为默认密钥提供程序。您可以在以后指定默认集群。

作为 KMIP 客户端,vCenter Server 利用密钥管理互操作协议 (Key Management Interoperability Protocol, KMIP),以便轻松使用您选择的密钥服务器。

vCenter Server

下表介绍了 vCenter Server 在加密过程中的角色。

表 2. 密钥提供程序和 vCenter Server
密钥提供程序 vCenter Server 的角色 如何检查特权
标准密钥提供程序 vCenter Server 拥有登录密钥服务器的凭据。ESXi 主机不具有这些凭据。vCenter Server 将从密钥服务器获取密钥,并将其推送给 ESXi 主机。vCenter Server 不会存储密钥服务器密钥,只会保留密钥 ID 的列表。 vCenter Server 将检查执行加密操作的用户的特权。
可信密钥提供程序 通过 vSphere Trust AuthorityvCenter Server 不再需要从密钥服务器请求密钥,它可以工作负载集群的证明状态为条件来访问加密密钥。必须对受信任集群和 Trust Authority 集群使用单独的 vCenter Server 系统。 vCenter Server 将检查执行加密操作的用户的特权。只有 TrustedAdmins SSO 组的成员用户才能执行管理操作。
vSphere Native Key Provider vCenter Server 生成密钥。 vCenter Server 将检查执行加密操作的用户的特权。

您可以使用 vSphere Client 来分配加密操作特权,也可以将无加密管理员自定义角色分配给用户组。请参见加密任务的必备条件和必需特权

vCenter Server 会将加密事件添加到事件列表中,您可以通过 vSphere Client 事件控制台查看和导出该列表。每个事件都包括用户、时间、密钥 ID 和加密操作。

来自密钥服务器的密钥用作密钥加密密钥 (Key Encryption Key, KEK)。

ESXi 主机

ESXi 主机负责处理加密工作流的几个方面。

表 3. ESXi 主机
密钥提供程序 ESXi 主机方面
标准密钥提供程序
  • vCenter Server 会在 ESXi 主机需要密钥时将密钥推送给该主机。该主机必须已启用加密模式。当前用户的角色必须具有加密操作特权。请参见加密任务的必备条件和必需特权加密操作特权
  • 确保在将已加密虚拟机的客户机数据存储到磁盘时对其进行加密。
  • 确保已加密虚拟机的客户机数据不会在未加密的情况下通过网络发送。
可信密钥提供程序 ESXi 主机运行 vSphere Trust Authority 服务,具体取决于它们是受信任主机还是 Trust Authority 主机。可信 ESXi 主机运行工作负载虚拟机,这些虚拟机可以使用 Trust Authority 主机发布的密钥提供程序进行加密。请参见可信基础架构概述
vSphere Native Key Provider ESXi 主机直接从 vSphere Native Key Provider 获取密钥。

ESXi 主机生成的密钥在本文档中称为内部密钥。这些密钥通常用作数据加密密钥 (Data Encryption Key, DEK)。