可信基础架构包括 vSphere Trust Authority 服务、至少一个符合 KMIP 的外部密钥服务器、vCenter Server 系统和 ESXi 主机。

什么是可信基础架构

可信基础架构包含至少一个 vSphere Trust Authority 集群、至少一个受信任集群以及至少一个符合 KMIP 的外部密钥服务器。每个集群都包含运行特定 vSphere Trust Authority 服务的 ESXi 主机,如下图所示。

图 1. vSphere Trust Authority 服务
此图显示了 vSphere Trust Authority 服务,包括证明服务和密钥提供程序服务。

配置 Trust Authority 集群会启用两种服务:

  • 证明服务
  • 密钥提供程序服务

配置 vSphere Trust Authority 时,受信任集群中的 ESXi 主机将与证明服务进行通信。密钥提供程序服务介于受信任主机与一个或多个可信密钥提供程序之间。

注: 目前,Trust Authority 集群中的 ESXi 主机不需要 TPM。但是,作为最佳做法,请考虑安装配有 TPM 的新 ESXi 主机。

什么是 vSphere Trust Authority 证明服务

证明服务会生成一个签名文档,其中包含描述受信任集群中远程 ESXi 主机的二进制文件和配置状态的断言。证明服务使用可信平台模块 (TPM) 2.0 芯片作为软件衡量和报告的基础来证明 ESXi 主机的状态。远程 ESXi 主机上的 TPM 衡量软件堆栈,并将配置数据发送到证明服务。证明服务验证软件衡量签名是否可以归因于以前配置的可信 TPM 认可密钥 (EK)。证明服务还确保软件衡量指标与一组以前保存的 ESXi 映像中的一个相匹配。证明服务对向 ESXi 主机发出的 JSON Web 令牌 (JWT) 进行签名,从而提供有关 ESXi 主机的标识、有效性和配置的断言。

什么是 vSphere Trust Authority 密钥提供程序服务

利用密钥提供程序服务,vCenter ServerESXi 主机不再需要直接密钥服务器凭据。在 vSphere Trust Authority 中,要使 ESXi 主机能够访问加密密钥,必须使用密钥提供程序服务进行身份验证。

要使密钥提供程序服务连接到密钥服务器,Trust Authority 管理员必须配置信任设置。对于大多数符合 KMIP 的服务器,配置信任设置包含配置客户端证书和服务器证书。

要确保仅将密钥发布到 ESXi 受信任主机,密钥提供程序服务将充当密钥服务器的网关守卫。密钥提供程序服务使用可信密钥提供程序的概念,对数据中心软件堆栈的其余部分隐藏密钥服务器详细信息。每个可信密钥提供程序具有一个配置的主加密密钥,并引用一个或多个密钥服务器。密钥提供程序服务可以具有多个已配置的可信密钥提供程序。例如,您可能希望为组织中的每个部门提供一个单独的可信密钥提供程序。每个可信密钥提供程序使用一个不同的主要密钥,但可以引用同一个支持密钥服务器。

创建可信密钥提供程序后,密钥提供程序服务可以接受来自 ESXi 受信任主机的请求,以便对该可信密钥提供程序运行加密操作。

ESXi 受信任主机请求对可信密钥提供程序执行操作时,密钥提供程序服务会确保尝试获取加密密钥的 ESXi 主机已经过证明。通过所有检查后,ESXi 受信任主机从密钥提供程序服务收到加密密钥。

vSphere Trust Authority 使用哪些端口

vSphere Trust Authority 服务侦听通过 ESXi 主机反向代理的连接。所有通信都在端口 443 上通过 HTTPS 进行。

什么是 vSphere Trust Authority 受信任主机

ESXi 受信任主机配置为使用可信密钥提供程序执行加密操作。ESXi 受信任主机通过与密钥提供程序服务和证明服务进行通信来执行密钥操作。对于身份验证和授权,ESXi 受信任主机使用从证明服务获取的令牌。要获取有效令牌,ESXi 受信任主机必须成功地向证明服务进行证明。令牌包含某些声明,用于确定 ESXi 受信任主机是否有权访问可信密钥提供程序。

vSphere Trust Authority 和密钥服务器要求

vSphere Trust Authority 要求至少使用一个密钥服务器。在以前的 vSphere 版本中,密钥服务器称为密钥管理服务器或 KMS。目前,vSphere 虚拟机加密支持符合 KMIP 1.1 的密钥服务器。

vSphere Trust Authority 如何存储配置和状态信息

vCenter Server 主要是用于 vSphere Trust Authority 配置和状态信息的直通服务。大多数 vSphere Trust Authority 配置和状态信息存储在 ESXi 主机上的 ConfigStore 数据库中。一些状态信息也存储在 vCenter Server 数据库中。

注: 由于大多数 vSphere Trust Authority 配置信息存储在 ESXi 主机上,因此, vCenter Server 基于文件的备份机制不会备份这些信息。要确保保存 vSphere Trust Authority 部署的配置信息,请参见 备份 vSphere Trust Authority 配置

vSphere Trust Authority 如何与 vCenter Server 集成

需要配置单独的 vCenter Server 实例来管理 Trust Authority 集群和受信任集群。请参见配置 vSphere Trust Authority

在受信任集群上,vCenter Server 管理 Trust Authority API 调用,并将这些调用传递到 ESXi 主机。vCenter Server 会在受信任集群中的所有 ESXi 主机之间复制 API 调用。

在最初配置 vSphere Trust Authority 后,可以在 Trust Authority 集群或受信任集群中添加或移除 ESXi 主机。请参见添加和移除 vSphere Trust Authority 主机