Crittografia di rete del traffico di replica

È possibile attivare la crittografia di rete dei dati del traffico di replica per le repliche nuove ed esistenti, così da migliorare la sicurezza del trasferimento delle informazioni.

È possibile attivare la crittografia dei flussi del traffico di replica dall'host ESXi di origine al datastore nel sito di destinazione.

L'appliance vSphere Replication installa automaticamente un agente di crittografia negli host ESXi di origine. Per gli host ESXi che fanno parte di cluster gestiti da vSphere Lifecycle o gli host ESXi autonomi gestiti da vSphere Lifecycle Manager, l'agente di crittografia viene aggiunto come parte dello stato desiderato dell'immagine di ESXi. vSphere Lifecycle Manager esegue l'installazione dell'agente di crittografia negli host. Per gli host ESXi che non sono gestiti da vSphere Lifecycle Manager, l'agente di crittografia viene installato dal server di gestione di vSphere Replication tramite Patch Manager.

La crittografia di rete utilizza il protocollo di trasporto sicuro TLSv1.2.

Il traffico di replica crittografato utilizza l'autenticazione reciproca basata su certificato tra l'host ESXi di origine e il server vSphere Replication del sito di destinazione.

Quando si configura o si riconfigura una replica, il server di gestione di vSphere Replication (VRMS) aggiorna la configurazione della macchina virtuale di origine con un'identificazione personale del certificato del server vSphere Replication di destinazione. Il VRMS registra ogni server vSphere Replication nel sito di destinazione con i certificati di tutti gli host ESXi del sito di origine. La registrazione viene eseguita separatamente per ogni sito vSphere Replication associato.

Il VRMS scambia i dati per i certificati foglia degli endpoint del traffico di replica crittografato indipendentemente dalle autorità di certificazione dell'host ESXi di origine e del server vSphere Replication di destinazione.

È possibile eseguire il comando della shell esxcli software vib list nell'host ESXi di origine e cercare il VIB vmware-hbr-agent per assicurarsi che l'agente sia disponibile nel sistema.

Quando la funzionalità di crittografia della rete viene attivata, l'agente crittografa i dati di replica nell'host ESXi di origine e li invia all'appliance vSphere Replication nel sito di destinazione. Il server vSphere Replication decrittografa i dati e li invia al datastore di destinazione.

Il traffico non crittografato passa attraverso la porta 31031 negli host ESXi di origine e nell'appliance vSphere Replication nel sito di destinazione.

Il traffico crittografato passa attraverso la porta 32032 negli host ESXi di origine e nell'appliance vSphere Replication nel sito di destinazione.

Se si configura una replica di una macchina virtuale crittografata, la crittografia della rete viene attivata automaticamente e non può essere disattivata.