根據所使用的金鑰提供者,外部金鑰伺服器、vCenter Server 系統和 ESXi 主機可能會影像加密解決方案。
下列元件包括 vSphere 虛擬機器加密:
- 外部金鑰伺服器,也稱為 KMS (vSphere Native Key Provider 不需要此項)
- vCenter Server
- ESXi 主機
金鑰伺服器
金鑰伺服器是與金鑰提供者相關聯的金鑰管理互通協定 (KMIP) 管理伺服器。標準金鑰提供者和受信任的金鑰提供者需要金鑰伺服器。vSphere Native Key Provider 不需要金鑰伺服器。下表說明了金鑰提供者和金鑰伺服器互動之間的差異。
金鑰提供者 | 與金鑰伺服器的互動 |
---|---|
標準金鑰提供者 | 標準金鑰提供者使用 vCenter Server 從金鑰伺服器請求金鑰。金鑰伺服器會產生並儲存金鑰,然後將金鑰傳遞到 vCenter Server 以散佈到 ESXi 主機。 |
受信任金鑰提供者 | 受信任的金鑰提供者使用金鑰提供者服務,該服務支援受信任的 ESXi 主機直接擷取金鑰。請參閱什麼是 vSphere Trust Authority 金鑰提供者服務。 |
vSphere Native Key Provider | vSphere Native Key Provider 不需要金鑰伺服器。vCenter Server 產生主要金鑰並將其推送至 ESXi 主機。然後,ESXi 主機產生資料加密金鑰 (即使未連線至 vCenter Server)。請參閱vSphere Native Key Provider 概觀。 |
您可以使用 vSphere Client 或 vSphere API 將金鑰提供者執行個體新增至 vCenter Server 系統。如果您使用多個金鑰提供者執行個體,則所有執行個體都必須來自同一個廠商並且必須複寫金鑰。
如果您的環境使用不同環境中的不同金鑰伺服器廠商,則可以針對每個金鑰伺服器新增一個金鑰提供者,並指定預設金鑰提供者。您新增的第一個金鑰提供者將成為預設金鑰提供者。您可以稍後明確指定預設值。
作為 KMIP 用戶端,vCenter Server 會使用金鑰管理互通協定 (KMIP),可讓您輕鬆使用所選擇的金鑰伺服器。
vCenter Server
下表說明了 vCenter Server 在加密程序中的角色。
金鑰提供者 | vCenter Server 的角色 | 如何檢查權限 |
---|---|---|
標準金鑰提供者 | 僅 vCenter Server 具有登入金鑰伺服器的認證。ESXi 主機沒有這些認證。vCenter Server 會從金鑰伺服器取得金鑰,並將其推送到 ESXi 主機。vCenter Server 不會儲存金鑰伺服器金鑰,但會保留金鑰識別碼清單。 | vCenter Server 會檢查執行密碼編譯作業的使用者的權限。 |
受信任金鑰提供者 | 透過 vSphere Trust Authority,vCenter Server 不再需要從金鑰伺服器請求金鑰,並且以工作負載叢集的證明狀態為條件來存取加密金鑰。必須針對受信任叢集和 Trust Authority 叢集使用不同的 vCenter Server 系統。 | vCenter Server 會檢查執行密碼編譯作業的使用者的權限。只有屬於 TrustedAdmins SSO 群組的使用者可以執行管理作業。 |
vSphere Native Key Provider | vCenter Server 會產生金鑰。 | vCenter Server 會檢查執行密碼編譯作業的使用者的權限。 |
您可以使用 vSphere Client 為使用者群組指派密碼編譯作業權限,或指派無密碼編譯管理員自訂角色。請參閱加密工作的必要條件和所需權限。
vCenter Server 會將密碼編譯事件新增至事件清單,您可以從 vSphere Client 事件主控台檢視和匯出這些事件。每個事件皆包含使用者、時間、金鑰識別碼及密碼編譯作業。
來自金鑰伺服器的金鑰會用作金鑰加密金鑰 (KEK)。
ESXi 主機
ESXi 主機負責加密工作流程的多個方面。
金鑰提供者 | ESXi 主機方面 |
---|---|
標準金鑰提供者 |
|
受信任金鑰提供者 | ESXi 主機會執行 vSphere Trust Authority 服務,具體取決於這些主機是受信任主機還是 Trust Authority 主機。受信任的 ESXi 主機會執行工作負載虛擬機器,這些虛擬機器可以使用 Trust Authority 主機發佈的金鑰提供者進行加密。請參閱受信任基礎結構概觀。 |
vSphere Native Key Provider | ESXi 主機會直接從 vSphere Native Key Provider 擷取金鑰。 |
ESXi 主機所產生的金鑰在本文件中稱為內部金鑰。這些金鑰通常充當資料加密金鑰 (DEK)。