Netzwerkverschlüsselung des Replizierungsdatenverkehrs

Sie können die Netzwerkverschlüsselung der Daten für den Replizierungsdatenverkehr für neue und vorhandene Replizierungen aktivieren, um die Sicherheit der Datenübertragung zu verbessern.

Sie können die Verschlüsselung von Replizierungsdatenverkehrsströmen vom ESXi-Quellhost zum Datenspeicher auf der Ziel-Site aktivieren.

Die vSphere Replication-Appliance installiert automatisch einen Verschlüsselungs-Agent auf den ESXi-Quellhosts. Für ESXi-Hosts, die Teil der vom vSphere Lifecycle Manager verwalteten Cluster oder eigenständigen ESXi-Hosts, die von vSphere Lifecycle Manager verwaltet werden, wird der Verschlüsselungs-Agent als Teil des gewünschten Zustands des ESXi-Images hinzugefügt. vSphere Lifecycle Manager übernimmt die Installation des Verschlüsselungs-Agent auf den Hosts. Für ESXi-Hosts, die nicht von vSphere Lifecycle Manager verwaltet werden, wird der Verschlüsselungs-Agent von vSphere Replication-Verwaltungsserver über den Patch Manager installiert.

Die Netzwerkverschlüsselung verwendet das Protokoll für den sicheren Transport TLSv1.2.

Der verschlüsselte Replizierungsdatenverkehr verwendet gegenseitige zertifikatsbasierte Authentifizierung zwischen dem ESXi-Quellhost und dem vSphere Replication-Server der Ziel-Site.

Beim Konfigurieren oder Neukonfigurieren einer Replizierung aktualisiert der vSphere Replication Management Server (VRMS) die Konfiguration der virtuellen Quellmaschine mit einem Fingerabdruck des vSphere Replication-Zielserverzertifikats. VRMS registriert jeden vSphere Replication-Server auf der Ziel-Site mit den Zertifikaten aller ESXi-Hosts auf der Quell-Site. Die Registrierung erfolgt separat für jede gekoppelte vSphere Replication-Site.

VRMS tauscht Daten für die untergeordneten Zertifikate der Endpoints des verschlüsselten Replizierungsdatenverkehrs aus. Dabei spielen die Zertifizierungsstellen für den ESXi-Quellhost und den vSphere Replication-Zielserver keine Rolle.

Sie können den Shell-Befehl esxcli software vib list auf dem ESXi-Quellhost ausführen und nach der vmware-hbr-agent-VIB suchen, um sicherzustellen, dass der Agent in Ihrem System verfügbar ist.

Wenn die Netzwerkverschlüsselungsfunktion aktiviert ist, verschlüsselt der Agent die Replizierungsdaten auf dem ESXi-Quellhost und sendet sie an die vSphere Replication-Appliance auf der Ziel-Site. Der vSphere Replication-Server entschlüsselt die Daten und sendet sie an den Zieldatenspeicher.

Unverschlüsselter Datenverkehr wird über Port 31031 auf den ESXi-Quellhosts und die vSphere Replication-Appliance auf der Ziel-Site weitergeleitet.

Verschlüsselter Datenverkehr wird über Port 32032 auf den ESXi-Quellhosts und die vSphere Replication-Appliance auf der Ziel-Site weitergeleitet.

Wenn Sie eine Replizierung einer verschlüsselten VM konfigurieren, wird die Netzwerkverschlüsselung automatisch aktiviert und kann nicht deaktiviert werden.