可以通过 vSphere Client 或使用公用 API 将标准密钥提供程序添加到 vCenter Server 系统。

通过 vSphere Client,可以将标准密钥提供程序添加到 vCenter Server 系统,并在密钥服务器与 vCenter Server 之间建立信任关系。

  • 可以添加来自同一供应商的多个密钥服务器。
  • 如果您的环境支持不同供应商提供的解决方案,则可以添加多个密钥提供程序。
  • 如果您的环境包含多个密钥提供程序,且您删除了默认密钥提供程序,则必须明确设置另一个默认密钥提供程序。
  • 可以为密钥服务器配置 IPv6 地址。
    • vCenter Server 系统和密钥服务器都可以仅配置 IPv6 地址。

前提条件

  • 验证密钥服务器 (KMS) 是否在《密钥管理服务器 (KMS) 的 VMware 兼容性指南》中列出,是否符合 KMIP 1.1,以及是否可以成为对称密钥 Foundry 和服务器。
  • 验证您是否拥有所需特权:加密操作.管理密钥服务器
  • 确保密钥服务器具有高可用性。在发生停电或灾难恢复等事件期间与密钥服务器断开连接会致使加密虚拟机无法访问。
    注: 在 vSphere 7.0 Update 2 及更高版本中,即使密钥服务器暂时脱机或不可用,加密的虚拟机和虚拟 TPM 也可以继续运行。请参见 ESXi 主机上的 vSphere 密钥持久性
  • 仔细考虑您的基础架构对密钥服务器的依赖关系。某些 KMS 解决方案以虚拟设备的形式交付,因此可能会产生依赖关系循环或其他与 KMS 设备放置位置不佳相关的可用性问题。

过程

  1. 使用 vSphere Client 登录到 vCenter Server 系统。
  2. 浏览清单列表,然后选择 vCenter Server 实例。
  3. 单击配置,然后在安全下单击密钥提供程序
  4. 单击添加标准密钥提供程序,然后输入密钥提供程序信息。
    选项
    名称 密钥提供程序的名称。

    每个逻辑密钥提供程序(无论其类型如何:标准、可信和本机密钥提供程序),都必须在所有 vCenter Server 系统中具有唯一的名称。

    有关详细信息,请参见密钥提供程序命名

    KMS 密钥服务器 (KMS) 的别名。
    地址 密钥服务器的 IP 地址或 FQDN。
    端口 vCenter Server 连接到密钥服务器的端口。
    代理服务器 用于连接到密钥服务器的可选代理服务器地址。
    代理端口 用于连接到密钥服务器的可选代理端口。
    用户名 一些密钥服务器供应商允许用户通过指定用户名和密码来隔离不同用户或组使用的加密密钥。仅当您的密钥服务器支持此功能且您准备使用时指定用户名。
    密码 一些密钥服务器供应商允许用户通过指定用户名和密码来隔离不同用户或组使用的加密密钥。仅当您的密钥服务器支持此功能且您准备使用时指定密码。
    可以通过单击 添加 KMS 添加更多密钥服务器。
  5. 单击添加密钥提供程序
  6. 单击信任
    vCenter Server 将添加密钥提供程序,并将状态显示为“已连接”。

下一步做什么

请参见 通过交换证书建立标准密钥提供程序可信连接