Schlüsselpersistenz auf dem ESXi-Host

Bei Verwendung eines Standardschlüsselanbieters verlässt sich der ESXi-Host auf vCenter Server, um Verschlüsselungsschlüssel zu verwalten. Wenn Sie einen vertrauenswürdigen Schlüsselanbieter verwenden, verlässt sich der ESXi-Host direkt auf die Trust Authority-Hosts für Schlüssel und vCenter Server ist nicht beteiligt.

Unabhängig vom Typ des Schlüsselanbieters erhält der ESXi-Host die Schlüssel anfänglich und behält sie im Schlüssel-Cache bei. Wenn der ESXi-Host neu gestartet wird, verliert er seinen Schlüssel-Cache. Der ESXi-Host fordert die Schlüssel dann erneut an, entweder vom Schlüsselserver (Standardschlüsselanbieter) oder vom Trust Authority-Host (vertrauenswürdiger Schlüsselanbieter). Wenn der ESXi-Host versucht, Schlüssel abzurufen, und der Schlüsselserver offline oder nicht erreichbar ist, können vTPMs und die Arbeitslastverschlüsselung nicht funktionieren. Bei Bereitstellungen im Edge-Stil, bei denen ein Schlüsselserver normalerweise nicht vor Ort bereitgestellt wird, kann ein Verlust der Konnektivität mit einem Schlüsselserver zu unnötigen Ausfallzeiten für verschlüsselte Arbeitslasten führen.

In vSphere 7.0 Update 2 und höher können verschlüsselte Arbeitslasten auch dann weiterhin funktionieren, wenn der Schlüsselserver offline oder nicht erreichbar ist. Wenn der ESXi-Host über ein TPM verfügt, werden die Verschlüsselungsschlüssel im TPM über Neustarts hinweg beibehalten. Selbst wenn ein ESXi-Host neu gestartet wird, muss der Host keine Verschlüsselungsschlüssel anfordern. Darüber hinaus können Verschlüsselungs- und Entschlüsselungsvorgänge fortgesetzt werden, wenn der Schlüsselserver nicht verfügbar ist, da die Schlüssel im TPM beibehalten wurden. Wenn also entweder der Schlüsselserver oder die Trust Authority-Hosts nicht verfügbar sind, können Sie verschlüsselte Arbeitslasten weiterhin „ohne Schlüsselserver“ ausführen. Darüber hinaus können vTPMs auch dann weiterhin funktionieren, wenn der Schlüsselserver nicht erreichbar ist.

Schlüsselpersistenz und vSphere Native Key Provider

Wenn Sie einen vSphere Native Key Provider verwenden, generiert vSphere Verschlüsselungsschlüssel und es ist kein Schlüsselserver erforderlich. Die ESXi-Hosts erhalten einen Schlüsselschlüssel (KDK), der zum Ableiten anderer Schlüssel verwendet wird. Nach dem Empfang des KDK und dem Generieren weiterer Schlüssel benötigen die ESXi-Hosts keinen Zugriff auf vCenter Server, um Verschlüsselungsvorgänge durchzuführen. Im Prinzip wird ein vSphere Native Key Provider immer „ohne Schlüsselserver“ ausgeführt.

Der KDK bleibt nach einem Neustart standardmäßig auf einem ESXi-Host erhalten, auch wenn vCenter Server nach dem Neustart des Hosts nicht verfügbar ist.

Sie können Schlüsselpersistenz mithilfe des vSphere Native Key Provider aktivieren, dies ist jedoch normalerweise nicht erforderlich. Die ESXi-Hosts haben vollständigen Zugriff auf vSphere Native Key Provider, weshalb zusätzliche Schlüsselpersistenz redundant ist. Ein Anwendungsfall für die Aktivierung der Schlüsselpersistenz mit vSphere Native Key Provider besteht dann, wenn Sie auch einen Standardschlüsselanbieter (externen KMIP-Server) konfiguriert haben.

Vorgehensweise zum Einrichten von Schlüsselpersistenz

Informationen zum Aktivieren oder Deaktivieren der Schlüsselpersistenz finden Sie unter Aktivieren und Deaktivieren von Schlüsselpersistenz auf einem ESXi-Host.