可以从 vSphere Client 将密钥管理服务器 (KMS) 添加到您的 vCenter Server 系统。

vCenter Server 会在您添加首个 KMS 实例时创建标准密钥提供程序。如果在两个或多个 vCenter Server 上配置密钥提供程序,请确保使用相同的密钥提供程序名称。

注: 请勿在计划加密的 vSAN 集群上部署 KMS 服务器。如果出现故障, vSAN 集群中的主机必须与 KMS 通信。
  • 添加 KMS 时,系统会提示您将此密钥提供程序设置为默认值。您可以稍后更改默认设置。
  • vCenter Server 创建第一个密钥提供程序后,可以将来自相同供应商的 KMS 实例添加到此密钥提供程序,然后配置所有 KMS 实例以在这些实例之间同步密钥。使用您的 KMS 供应商提供的方法。
  • 您可以设置只有一个 KMS 实例的密钥提供程序。
  • 如果您的环境支持不同供应商提供的 KMS 解决方案,则可以添加多个密钥提供程序。

前提条件

  • 确认密钥管理服务器位于 《vSphere 兼容性列表》 中,且符合 KMIP 1.1。
  • 确认您具有所需特权:Cryptographer.ManageKeyServers
  • 不支持仅使用 IPv6 地址连接到 KMS。
  • 不支持通过需要用户名或密码的代理服务器连接到 KMS。

过程

  1. 登录到 vCenter Server
  2. 浏览清单列表,然后选择 vCenter Server 实例。
  3. 单击配置,然后在“安全”下,单击密钥提供程序
  4. 单击添加标准密钥提供程序,输入密钥提供程序信息,然后单击添加密钥提供程序
    可以通过单击 添加 KMS 添加更多密钥管理服务器。
  5. 单击信任
    vCenter Server 将添加密钥提供程序,并将状态显示为“已连接”。