作为定期密钥轮换计划的一部分,可以使用 PowerCLI 更新 vSphere Native Key Provider。

如果您有密钥轮换策略,则可以更新 vSphere Native Key Provider,并为使用该密钥提供程序加密的虚拟机重新加密。必须使用 PowerCLI 更新 vSphere Native Key Provider。此外,也可以在不更新密钥提供程序的情况下重新加密已经加密的虚拟机。在这种情况下,仅更改虚拟机密钥。要为虚拟机重新加密,请参见 使用 vSphere Client 对加密虚拟机进行重新加密

前提条件

  • 所需特权:加密操作.管理密钥服务器
  • PowerCLI 12.3.0

过程

  1. 在 PowerCLI 会话中,运行 Connect-VIServer cmdlet,以管理员用户身份连接到配置了要更新的 vSphere Native Key Provider 的 vCenter Server
    Connect-VIServer -server VC_ip_address -User admin_user -Password 'password'
  2. 要获取 vSphere Native Key Provider 名称,请使用可选的 Get-KeyProvider 参数运行 Type cmdlet。
    Get-KeyProvider -Type NativeKeyProvider
  3. 要更新密钥提供程序,请在指定密钥提供程序名称和 GUID 的情况下运行 Set-KeyProvider cmdlet。
    可以通过运行 New-Guid cmdlet 生成要使用的 GUID。
    Set-KeyProvider -KeyProvider KeyProvider_name -KeyId Guid
    此时将显示有关备份配置的警告。
  4. 要备份密钥提供程序,请运行 Export-KeyProvider cmdlet。
    Export-KeyProvider -KeyProvider KeyProvider_name -FilePath path_file_name

    还可以使用 vSphere Client 备份密钥提供程序。请参见备份 vSphere Native Key Provider

结果

更新密钥提供程序后,其状态将更改为“未备份”。备份密钥提供程序后,其状态将更改为“活动”。