In vSphere 7.0 Update 2 und höher können verschlüsselte virtuelle Maschinen und virtuelle TPMs auch dann weiterhin optional funktionieren, wenn der Schlüsselserver vorübergehend offline oder nicht verfügbar ist. Die ESXi-Hosts können die Verschlüsselungsschlüssel beibehalten, um die Verschlüsselung und vTPM-Vorgänge fortzusetzen.
Vor vSphere 7.0 Update 2 ist es für verschlüsselte virtuelle Maschinen und vTPMs erforderlich, dass der Schlüsselserver immer verfügbar ist. In vSphere 7.0 Update 2 und höher können verschlüsselte Geräte auch dann funktionieren, wenn der Zugriff auf einen Schlüsselserver unterbrochen ist.
In vSphere 7.0 Update 3 und höher können verschlüsselte vSAN-Cluster auch dann funktionieren, wenn der Zugriff auf einen Schlüsselanbieter unterbrochen ist.
Funktionsweise der Schlüsselpersistenz auf ESXi-Hosts
Bei Verwendung eines Standardschlüsselanbieters verlässt sich der ESXi-Host auf vCenter Server, um Verschlüsselungsschlüssel zu verwalten. Wenn Sie einen vertrauenswürdigen Schlüsselanbieter verwenden, verlässt sich der ESXi-Host direkt auf die Trust Authority-Hosts für Schlüssel und vCenter Server ist nicht beteiligt. vSphere Native Key Provider verarbeitet Schlüssel unterschiedlich. Weitere Informationen finden Sie im nächsten Abschnitt.
Unabhängig vom Typ des Schlüsselanbieters erhält der ESXi-Host die Schlüssel anfänglich und behält sie im Schlüssel-Cache bei. Wenn der ESXi-Host neu gestartet wird, verliert er seinen Schlüssel-Cache. Der ESXi-Host fordert die Schlüssel dann erneut an, entweder vom Schlüsselserver (Standardschlüsselanbieter) oder vom Trust Authority-Host (vertrauenswürdiger Schlüsselanbieter). Wenn der ESXi-Host versucht, Schlüssel abzurufen, und der Schlüsselserver offline oder nicht erreichbar ist, können vTPMs und die Arbeitslastverschlüsselung nicht funktionieren. Bei Bereitstellungen im Edge-Stil, bei denen ein Schlüsselserver normalerweise nicht vor Ort bereitgestellt wird, kann ein Verlust der Konnektivität mit einem Schlüsselserver zu unnötigen Ausfallzeiten für verschlüsselte Arbeitslasten führen.
In vSphere 7.0 Update 2 und höher können verschlüsselte Arbeitslasten auch dann weiterhin funktionieren, wenn der Schlüsselserver offline oder nicht erreichbar ist. Wenn der ESXi-Host über ein TPM verfügt, werden die Verschlüsselungsschlüssel im TPM über Neustarts hinweg beibehalten. Selbst wenn ein ESXi-Host neu gestartet wird, muss der Host keine Verschlüsselungsschlüssel anfordern. Darüber hinaus können Verschlüsselungs- und Entschlüsselungsvorgänge fortgesetzt werden, wenn der Schlüsselserver nicht verfügbar ist, da die Schlüssel im TPM beibehalten wurden. Wenn also entweder der Schlüsselserver oder die Trust Authority-Hosts nicht verfügbar sind, können Sie je nach Schlüsselanbieter verschlüsselte Arbeitslasten weiterhin „ohne Schlüsselserver“ ausführen. Darüber hinaus können vTPMs auch dann weiterhin funktionieren, wenn der Schlüsselserver nicht erreichbar ist.
Schlüsselpersistenz und vSphere Native Key Provider
Wenn Sie einen vSphere Native Key Provider verwenden, generiert vSphere die Verschlüsselungsschlüssel, und es ist kein Schlüsselserver erforderlich. Die ESXi-Hosts erhalten einen KDK (Key Derivation Key), der zum Ableiten anderer Schlüssel verwendet wird. Nach dem Empfang des KDK und dem Generieren weiterer Schlüssel benötigen die ESXi-Hosts keinen Zugriff auf vCenter Server, um Verschlüsselungsvorgänge durchzuführen. Im Prinzip wird ein vSphere Native Key Provider immer „ohne Schlüsselserver“ ausgeführt.
Der KDK bleibt nach einem Neustart standardmäßig auf einem ESXi-Host erhalten, auch wenn vCenter Server nach dem Neustart des Hosts nicht verfügbar ist.
Sie können Schlüsselpersistenz mit vSphere Native Key Provider aktivieren, dies ist jedoch normalerweise nicht erforderlich. Die ESXi-Hosts haben vollständigen Zugriff auf vSphere Native Key Provider, sodass zusätzliche Schlüsselpersistenz redundant ist. Der Anwendungsfall für die Aktivierung der Schlüsselpersistenz mit vSphere Native Key Provider ist gegeben, wenn Sie auch einen Standardschlüsselanbieter (externer KMIP-Server) konfiguriert haben.
Vorgehensweise zum Einrichten von Schlüsselpersistenz
Informationen zum Aktivieren oder Deaktivieren der Schlüsselpersistenz finden Sie unter Aktivieren und Deaktivieren von Schlüsselpersistenz auf einem ESXi-Host.