Chiffrement réseau du trafic de réplication

Vous pouvez activer le chiffrement réseau des données de trafic de réplication pour les réplications nouvelles et existantes afin d'améliorer la sécurité du transfert de données.

Vous pouvez activer le chiffrement du trafic de réplication si vos instances de VMware Site Recovery se trouvent sur un SDDC VMware Cloud on AWS version 1.13 ou version ultérieure.

Le dispositif vSphere Replication installe automatiquement un agent de chiffrement sur les hôtes ESXi source. Le chiffrement réseau utilise le protocole de transport sécurisé TLSv1.2.

Le trafic de réplication chiffré utilise l'authentification basée sur un certificat mutuel entre l'hôte ESXi source et le serveur vSphere Replication du site cible.

Lors de la configuration ou de la reconfiguration d'une réplication, vSphere Replication Management Server (VRMS) met à jour la configuration de la machine virtuelle source avec une empreinte numérique du certificat du serveur vSphere Replication cible. VRMS enregistre chaque serveur vSphere Replication sur le site cible avec les certificats de tous les hôtes ESXi du site source. L'enregistrement est effectué séparément pour chaque site vSphere Replication couplé.

VRMS échange des données pour les certificats feuille des points de terminaison du trafic de réplication chiffré, quelles que soient les autorités de certification pour l'hôte ESXi source et le serveur vSphere Replication cible.

Vous pouvez exécuter la commande shell esxcli software vib list sur l'hôte ESXi source et rechercher le VIB vmware-hbr-agent pour vous assurer que l'agent est disponible dans votre système.

Lorsque la fonctionnalité de chiffrement réseau est activée, l'agent chiffre les données de réplication sur l'hôte ESXi source et les envoie au dispositif vSphere Replication sur le site cible. Le serveur vSphere Replication déchiffre les données et les envoie à la banque de données cible.

Le trafic non chiffré passe par le port 31031 sur les hôtes ESXi source et le dispositif vSphere Replication sur le site cible.

Le trafic chiffré passe par le port 32032 sur les hôtes ESXi sources et le dispositif vSphere Replication sur le site cible.

Si vous configurez la réplication d'une machine virtuelle chiffrée, le chiffrement du réseau sera automatiquement activé et ne pourra pas être désactivé.

L'activation du chiffrement réseau a un impact minime sur les ressources de CPU et de mémoire de l'hôte. L’activation du chiffrement réseau limite le débit par hôte pour les réplications utilisant le chiffrement. Cette limite s'applique uniquement aux réplications pour lesquelles le chiffrement est activé et les réplications sans chiffrement ne sont pas affectées.