可以通过 vSphere Client 或使用公用 API 将标准密钥提供程序添加到 vCenter Server 系统。
通过 vSphere Client,可以将标准密钥提供程序添加到 vCenter Server 系统,并在密钥服务器与 vCenter Server 之间建立信任关系。
- 可以添加来自同一供应商的多个密钥服务器。
- 如果您的环境支持不同供应商提供的解决方案,则可以添加多个密钥提供程序。
- 如果您的环境包含多个密钥提供程序,且您删除了默认密钥提供程序,则必须明确设置另一个默认密钥提供程序。
- 可以为密钥服务器配置 IPv6 地址。
- vCenter Server 系统和密钥服务器都可以仅配置 IPv6 地址。
前提条件
- 验证密钥服务器 (KMS) 是否在《密钥管理服务器 (KMS) 的 VMware 兼容性指南》中列出,是否符合 KMIP 1.1,以及是否可以成为对称密钥 Foundry 和服务器。
- 验证您是否拥有所需特权: 。
- 确保密钥服务器具有高可用性。在发生停电或灾难恢复等事件期间与密钥服务器断开连接会致使加密虚拟机无法访问。
注: 在 vSphere 7.0 Update 2 及更高版本中,即使密钥服务器暂时脱机或不可用,加密的虚拟机和虚拟 TPM 也可以继续运行。请参见 ESXi 主机上的 vSphere 密钥持久性。
- 仔细考虑您的基础架构对密钥服务器的依赖关系。某些 KMS 解决方案以虚拟设备的形式交付,因此可能会产生依赖关系循环或其他与 KMS 设备放置位置不佳相关的可用性问题。