È possibile abilitare la crittografia di rete dei dati del traffico di replica per le repliche nuove ed esistenti, così da migliorare la sicurezza del trasferimento delle informazioni.
È possibile abilitare la crittografia del traffico di replica se le istanze di VMware Site Recovery si trovano in un SDDC VMware Cloud on AWS versione 1.13 o successiva.
L'appliance vSphere Replication installa automaticamente un agente di crittografia negli host ESXi di origine. La crittografia di rete utilizza il protocollo di trasporto sicuro TLSv1.2.
Il traffico di replica crittografato utilizza l'autenticazione reciproca basata su certificato tra l'host ESXi di origine e il server vSphere Replication del sito di destinazione.
Quando si configura o si riconfigura una replica, il server di gestione di vSphere Replication (VRMS) aggiorna la configurazione della macchina virtuale di origine con un'identificazione personale del certificato del server vSphere Replication di destinazione. Il VRMS registra ogni server vSphere Replication nel sito di destinazione con i certificati di tutti gli host ESXi del sito di origine. La registrazione viene eseguita separatamente per ogni sito vSphere Replication associato.
Il VRMS scambia i dati per i certificati foglia degli endpoint del traffico di replica crittografato indipendentemente dalle autorità di certificazione dell'host ESXi di origine e del server vSphere Replication di destinazione.
È possibile eseguire il comando della shell esxcli software vib list
nell'host ESXi di origine e cercare il VIB vmware-hbr-agent per assicurarsi che l'agente sia disponibile nel sistema.
Quando la funzionalità di crittografia della rete viene attivata, l'agente crittografa i dati di replica nell'host ESXi di origine e li invia all'appliance vSphere Replication nel sito di destinazione. Il server vSphere Replication decrittografa i dati e li invia al datastore di destinazione.
Il traffico non crittografato passa attraverso la porta 31031 negli host ESXi di origine e nell'appliance vSphere Replication nel sito di destinazione.
Il traffico crittografato passa attraverso la porta 32032 negli host ESXi di origine e nell'appliance vSphere Replication nel sito di destinazione.
Se si configura una replica di una macchina virtuale crittografata, la crittografia della rete viene attivata automaticamente e non può essere disattivata.
L'abilitazione della crittografia di rete ha un impatto minimo sulle risorse di CPU e memoria dell'host. L'abilitazione della crittografia di rete limita la velocità effettiva per host per le repliche che utilizzano la crittografia. Questo limite si applica solo alle repliche in cui è abilitata la crittografia, e le repliche senza crittografia non vengono coinvolte.