Sie können die Netzwerkverschlüsselung der Daten für den Replizierungsdatenverkehr für neue und vorhandene Replizierungen aktivieren, um die Sicherheit der Datenübertragung zu verbessern.
Mit VMware vSphere Replication 8.7 können Sie die Verschlüsselung von Replizierungsdatenverkehrsströmen vom ESXi-Quellhost zum vSphere Replication-Server auf der Ziel-Site aktivieren.
Die vSphere Replication-Appliance installiert automatisch einen Verschlüsselungs-Agent auf den ESXi-Quellhosts. Die Netzwerkverschlüsselung verwendet das Protokoll für den sicheren Transport TLSv1.2.
Der verschlüsselte Replizierungsdatenverkehr verwendet gegenseitige zertifikatsbasierte Authentifizierung zwischen dem ESXi-Quellhost und dem vSphere Replication-Server der Ziel-Site.
Beim Konfigurieren oder Neukonfigurieren einer Replizierung aktualisiert der vSphere Replication Management Server (VRMS) die Konfiguration der virtuellen Quellmaschine mit einem Fingerabdruck des vSphere Replication-Zielserverzertifikats. VRMS registriert jeden vSphere Replication-Server auf der Ziel-Site mit den Zertifikaten aller ESXi-Hosts auf der Quell-Site. Die Registrierung erfolgt separat für jede gekoppelte vSphere Replication-Site.
VRMS tauscht Daten für die untergeordneten Zertifikate der Endpoints des verschlüsselten Replizierungsdatenverkehrs aus. Dabei spielen die Zertifizierungsstellen für den ESXi-Quellhost und den vSphere Replication-Zielserver keine Rolle.
Sie können den Shell-Befehl esxcli software vib list
auf dem ESXi-Quellhost ausführen und nach der vmware-hbr-agent-VIB suchen, um sicherzustellen, dass der Agent in Ihrem System verfügbar ist.
Wenn die Netzwerkverschlüsselungsfunktion aktiviert ist, verschlüsselt der Agent die Replizierungsdaten auf dem ESXi-Quellhost und sendet sie an die vSphere Replication-Appliance auf der Ziel-Site. Der vSphere Replication-Server entschlüsselt die Daten und sendet sie an den Zieldatenspeicher.
Unverschlüsselter Datenverkehr wird über Port 31031 auf den ESXi-Quellhosts und die vSphere Replication-Appliance auf der Ziel-Site weitergeleitet.
Verschlüsselter Datenverkehr wird über Port 32032 auf den ESXi-Quellhosts und die vSphere Replication-Appliance auf der Ziel-Site weitergeleitet.
Wenn Sie eine Replizierung einer verschlüsselten VM konfigurieren, wird die Netzwerkverschlüsselung automatisch aktiviert und kann nicht deaktiviert werden.