Netzwerkverschlüsselung des Replizierungsdatenverkehrs

Sie können die Netzwerkverschlüsselung der Daten für den Replizierungsdatenverkehr für neue und vorhandene Replizierungen aktivieren, um die Sicherheit der Datenübertragung zu verbessern.

Sie können die Verschlüsselung des Replizierungsdatenverkehrs aktivieren, wenn sich Ihre VMware Site Recovery-Instanzen in einem VMware Cloud on AWS-SDDC der Version 1.13 oder höher befinden.

Die vSphere Replication-Appliance installiert automatisch einen Verschlüsselungs-Agent auf den ESXi-Quellhosts. Die Netzwerkverschlüsselung verwendet das Protokoll für den sicheren Transport TLSv1.2.

Der verschlüsselte Replizierungsdatenverkehr verwendet gegenseitige zertifikatsbasierte Authentifizierung zwischen dem ESXi-Quellhost und dem vSphere Replication-Server der Ziel-Site.

Beim Konfigurieren oder Neukonfigurieren einer Replizierung aktualisiert der vSphere Replication Management Server (VRMS) die Konfiguration der virtuellen Quellmaschine mit einem Fingerabdruck des vSphere Replication-Zielserverzertifikats. VRMS registriert jeden vSphere Replication-Server auf der Ziel-Site mit den Zertifikaten aller ESXi-Hosts von der Quell-Site. Die Registrierung erfolgt separat für jede gekoppelte vSphere Replication-Site.

VRMS tauscht Daten für die untergeordneten Zertifikate der Endpoints des verschlüsselten Replizierungsdatenverkehrs aus, unabhängig von den Zertifizierungsstellen für den ESXi-Quellhost und dem vSphere Replication-Zielserver.

Sie können den Shell-Befehl esxcli software vib list auf dem ESXi-Quellhost ausführen und nach der vmware-hbr-agent-VIB suchen, um sicherzustellen, dass der Agent in Ihrem System verfügbar ist.

Wenn die Netzwerkverschlüsselungsfunktion aktiviert ist, verschlüsselt der Agent die Replizierungsdaten auf dem ESXi-Quellhost und sendet sie an die vSphere Replication-Appliance auf der Ziel-Site. Der vSphere Replication-Server entschlüsselt die Daten und sendet sie an den Zieldatenspeicher.

Unverschlüsselter Datenverkehr geht über Port 31031 auf den ESXi-Quellhosts und der vSphere Replication-Appliance auf der Ziel-Site.

Verschlüsselter Datenverkehr geht über Port 32032 auf den ESXi-Quellhosts und der vSphere Replication-Appliance auf der Ziel-Site.

Wenn Sie eine Replizierung einer verschlüsselten VM konfigurieren, wird die Netzwerkverschlüsselung automatisch aktiviert und kann nicht deaktiviert werden.

Die Aktivierung der Netzwerkverschlüsselung hat minimale Auswirkungen auf die CPU- und die Arbeitsspeicherressource des Hosts. Die Aktivierung der Netzwerkverschlüsselung beschränkt den Durchsatz pro Host für die Replizierungen, bei denen die Verschlüsselung verwendet wird. Dieser Grenzwert gilt nur für Replizierungen mit aktivierter Verschlüsselung. Replizierungen ohne Verschlüsselung sind davon nicht betroffen.