Come funziona la persistenza della chiave su ESXi host?

Quando si utilizza un provider di chiavi standard, l'host ESXi fa affidamento su vCenter Server per gestire le chiavi di crittografia. Quando si utilizza un provider di chiavi attendibile, l'host ESXi fa affidamento direttamente sugli Host Trust Authority per le chiavi e vCenter Server non è coinvolto. vSphere Native Key Provider gestisce le chiavi in modo diverso. Per ulteriori informazioni, vedere la prossima sezione.

Indipendentemente dal tipo di provider di chiavi, l'host ESXi ottiene inizialmente le chiavi e le conserva nella cache delle chiavi. Se l'host ESXi viene riavviato, perde la cache delle chiavi. L'host ESXi quindi richiede nuovamente le chiavi o al server di chiavi (provider di chiavi standard) o agli Host Trust Authority (provider di chiavi attendibile). Quando l'host ESXi tenta di ottenere le chiavi e il server di chiavi è offline o irraggiungibile, i vTPM e la crittografia dei carichi di lavoro non funzionano. Per le distribuzioni di tipo Edge, in cui un server di chiavi in genere non è distribuito nel sito, una perdita di connettività a un server di chiavi può causare un tempo di inattività non necessario per i carichi di lavoro crittografati.

In vSphere 7.0 Update 2 e versioni successive, i carichi di lavoro crittografati possono continuare a funzionare anche quando il server di chiavi è offline o irraggiungibile. Se l'host ESXi dispone di un TPM, le chiavi di crittografia sono fatte persistere nel TPM tra un riavvio e l'altro. Pertanto, anche se un host ESXi viene riavviato, l'host non deve richiedere le chiavi di crittografia. Inoltre, le operazioni di crittografia e decrittografia possono continuare quando il server di chiavi non è disponibile, perché le chiavi persistono nel TPM. Sostanzialmente, in base al provider di chiavi, quando il server di chiavi o i Trust Authority Host non sono disponibili, è possibile continuare a gestire i carichi di lavoro crittografati "senza server di chiavi". Inoltre, i vTPM possono continuare a funzionare anche quando il server di chiavi non è raggiungibile.

Persistenza delle chiavi e vSphere Native Key Provider

Quando si utilizza un vSphere Native Key Provider, vSphere genera le chiavi e non è necessario alcun server di chiavi. Gli host ESXi ottengono una chiave KDK (Key Derivation Key) che viene utilizzata per ricavare altre chiavi. Dopo aver ricevuto la KDK e aver generato altre chiavi, gli host ESXi non hanno bisogno di accedere a vCenter Server per eseguire le operazioni di crittografia. Sostanzialmente, un vSphere Native Key Provider si esegue sempre "senza server di chiavi".

Per impostazione predefinita, il servizio KDK viene mantenuto su un host ESXi anche dopo il riavvio e anche quando l'istanza di vCenter Server non è disponibile dopo il riavvio dell'host.

È possibile attivare la persistenza delle chiavi con vSphere Native Key Provider, ma di solito non è necessario. Gli host ESXi hanno l'accesso completo a vSphere Native Key Provider, pertanto la persistenza aggiuntiva delle chiavi è ridondante. Un caso d'uso per l'attivazione della persistenza delle chiavi con vSphere Native Key Provider prevede che sia presente anche un provider di chiavi standard (server KMIP esterno) configurato.

Come impostare la persistenza della chiave?

Per attivare o disattivare la persistenza delle chiavi, vedere Attivazione e disattivazione della persistenza delle chiavi in un host ESXi.