简要地概述了能够帮助您规划加密策略,因此需要您加以关注的 vSphere 密钥提供程序。

通常,密钥提供程序日常操作之间的功能或产品支持几乎没有差异。尽管密钥提供程序的外观和行为相似,但您在选择密钥提供程序时可能要考虑一些要求和法规,如下表所示。

表 1. 密钥提供程序注意事项
密钥提供程序 需要外部密钥服务器? 快速设置? 只能与 vSphere 配合使用? 加密密钥永久存储在主机上? 克隆时重新加密?
标准密钥提供程序
可信密钥提供程序
vSphere Native Key Provider
注: 每次主机启动时,vSphere Native Key Provider 都会将加密密钥写入集群中的 ESXi 主机。如果您担心集群的物理安全,请考虑使用标准密钥提供程序或可信密钥提供程序,这两种方法都要求密钥服务器可用以便加密虚拟机运行。

密钥提供程序加密功能

每种密钥提供程序类型都支持以下加密功能。

  • 使用同一密钥提供程序或其他密钥提供程序重新加密
  • 轮换密钥
  • 虚拟可信平台模块 (vTPM)
  • 磁盘加密
  • vSphere虚拟机加密
  • 与其他密钥提供程序共存
  • 升级到其他密钥提供程序

密钥提供程序对 vSphere 功能的支持

下面介绍了一些重要 vSphere 功能的密钥提供程序支持。

  • 加密的 vSphere vMotion:受所有密钥提供程序类型的支持。同一密钥提供程序必须在目标主机上可用。请参见加密 vSphere vMotion
  • vCenter Server 基于文件的备份和还原:标准密钥提供程序和 vSphere Native Key Provider 支持 vCenter Server 基于文件的备份和还原。由于大多数 vSphere Trust Authority 配置信息存储在 ESXi 主机上,因此 vCenter Server 基于文件的备份机制不会备份此信息。要确保保存 vSphere Trust Authority 部署的配置信息,请参见备份 vSphere Trust Authority 配置

密钥提供程序对 VMware 产品的支持

下表对比了部分 VMware 产品的密钥提供程序支持。

表 2. VMware 产品支持比较
密钥提供程序 vSAN Site Recovery Manager vSphere Replication
标准密钥提供程序
可信密钥提供程序

如果相同的 vSphere Trust Authority 服务配置在恢复端上可用,则支持使用基于阵列的复制的 SRM。

vSphere Native Key Provider

密钥提供程序所需的硬件

下表对比了一些密钥提供程序最低硬件要求。

表 3. 密钥提供程序所需硬件比较
密钥提供程序 ESXi 主机上的 TPM
标准密钥提供程序 不需要
可信密钥提供程序 受信任主机(受信任集群中的主机)需要此密钥提供程序。

注: 目前,Trust Authority 集群中的 ESXi 主机不需要 TPM。但是,作为最佳做法,请考虑安装配有 TPM 的新 ESXi 主机。
vSphere Native Key Provider 不需要

可以选择将 vSphere Native Key Provider 的可用性限制到具有 TPM 的主机。

密钥提供程序命名

vSphere 使用密钥提供程序名称查找密钥标识符。如果两个密钥提供程序具有相同的名称,vSphere 会假定它们是等效的并且有权访问相同的密钥。每个逻辑密钥提供程序(无论其类型如何:标准、可信和本机密钥提供程序),都必须在所有 vCenter Server 系统中具有唯一的名称。

在几个实例中,您可以跨多个 vCenter Server 系统配置同一个密钥提供程序,例如:

  • vCenter Server 系统之间迁移加密虚拟机
  • vCenter Server 设置为灾难恢复站点