您可以為新的及現有的複寫啟用複寫流量資料的網路加密,以增強資料傳輸的安全性。

如果您的 VMware Site Recovery 執行個體位於 VMware Cloud on AWS SDDC 1.13 版或更新版本上,您可以啟用複寫流量的加密。

vSphere Replication 應用裝置會在來源 ESXi 主機上自動安裝加密代理程式。網路加密使用安全傳輸通訊協定 TLSv1.2。

加密複寫流量在來源 ESXi 主機與目標站台 vSphere Replication 伺服器之間使用基於憑證的雙向驗證。

設定或重新設定複寫時,vSphere Replication 管理伺服器 (VRMS) 會使用目標 vSphere Replication 伺服器憑證的指紋更新來源虛擬機器組態。VRMS 使用來源站台中所有 ESXi 主機的憑證在目標站台上登錄每個 vSphere Replication 伺服器。將為每個配對的 vSphere Replication 站台單獨進行登錄。

無論來源 ESXi 主機和目標 vSphere Replication 伺服器的憑證授權機構如何,VRMS 都會交換加密複寫流量端點的分葉憑證的資料。

您可以在來源 ESXi 主機上執行 Shell 命令 esxcli software vib list,並尋找 vmware-hbr-agent VIB 以確保代理程式可在您的系統中使用。

開啟網路加密功能時,代理程式會在來源 ESXi 主機上加密複寫資料,並將其傳送到目標站台上的 vSphere Replication 應用裝置。vSphere Replication 伺服器會解密資料,並將其傳送到目標資料存放區。

未加密的流量會流經來源 ESXi 主機和目標站台上 vSphere Replication 應用裝置上的連接埠 31031。

已加密的流量會流經來源 ESXi 主機和目標站台上 vSphere Replication 應用裝置上的連接埠 32032。

如果您設定已加密虛擬機器的複寫,網路加密會自動開啟,且無法停用。

啟用網路加密對主機的 CPU 和記憶體資源的影響很小。啟用網路加密會限制每台主機使用加密的複寫的輸送量。此限制僅適用於已啟用加密的複寫,不會影響未加密的複寫。