根據所使用的金鑰提供者,外部金鑰伺服器、vCenter Server 系統和 ESXi 主機可能會影像加密解決方案。

下列元件包括 vSphere 虛擬機器加密

  • 外部金鑰伺服器,也稱為 KMS (vSphere Native Key Provider 不需要此項)
  • vCenter Server
  • ESXi 主機

金鑰伺服器

金鑰伺服器是與金鑰提供者相關聯的金鑰管理互通協定 (KMIP) 管理伺服器。標準金鑰提供者和受信任的金鑰提供者需要金鑰伺服器。vSphere Native Key Provider 不需要金鑰伺服器。下表說明了金鑰提供者和金鑰伺服器互動之間的差異。

表 1. 金鑰提供者和金鑰伺服器互動
金鑰提供者 與金鑰伺服器的互動
標準金鑰提供者 標準金鑰提供者使用 vCenter Server 從金鑰伺服器請求金鑰。金鑰伺服器會產生並儲存金鑰,然後將金鑰傳遞到 vCenter Server 以散佈到 ESXi 主機。
受信任金鑰提供者 受信任的金鑰提供者使用金鑰提供者服務,該服務支援受信任的 ESXi 主機直接擷取金鑰。請參閱什麼是 vSphere Trust Authority 金鑰提供者服務
vSphere Native Key Provider vSphere Native Key Provider 不需要金鑰伺服器。vCenter Server 產生主要金鑰並將其推送至 ESXi 主機。然後,ESXi 主機產生資料加密金鑰 (即使未連線至 vCenter Server)。請參閱vSphere Native Key Provider 概觀

您可以使用 vSphere Client 或 vSphere API 將金鑰提供者執行個體新增至 vCenter Server 系統。如果您使用多個金鑰提供者執行個體,則所有執行個體都必須來自同一個廠商並且必須複寫金鑰。

如果您的環境使用不同環境中的不同金鑰伺服器廠商,則可以針對每個金鑰伺服器新增一個金鑰提供者,並指定預設金鑰提供者。您新增的第一個金鑰提供者將成為預設金鑰提供者。您可以稍後明確指定預設值。

作為 KMIP 用戶端,vCenter Server 會使用金鑰管理互通協定 (KMIP),可讓您輕鬆使用所選擇的金鑰伺服器。

vCenter Server

下表說明了 vCenter Server 在加密程序中的角色。

表 2. 金鑰提供者和 vCenter Server
金鑰提供者 vCenter Server 的角色 如何檢查權限
標準金鑰提供者 vCenter Server 具有登入金鑰伺服器的認證。ESXi 主機沒有這些認證。vCenter Server 會從金鑰伺服器取得金鑰,並將其推送到 ESXi 主機。vCenter Server 不會儲存金鑰伺服器金鑰,但會保留金鑰識別碼清單。 vCenter Server 會檢查執行密碼編譯作業的使用者的權限。
受信任金鑰提供者 透過 vSphere Trust AuthorityvCenter Server 不再需要從金鑰伺服器請求金鑰,並且以工作負載叢集的證明狀態為條件來存取加密金鑰。必須針對受信任叢集和 Trust Authority 叢集使用不同的 vCenter Server 系統。 vCenter Server 會檢查執行密碼編譯作業的使用者的權限。只有屬於 TrustedAdmins SSO 群組的使用者可以執行管理作業。
vSphere Native Key Provider vCenter Server 會產生金鑰。 vCenter Server 會檢查執行密碼編譯作業的使用者的權限。

您可以使用 vSphere Client 為使用者群組指派密碼編譯作業權限,或指派無密碼編譯管理員自訂角色。請參閱加密工作的必要條件和所需權限

vCenter Server 會將密碼編譯事件新增至事件清單,您可以從 vSphere Client 事件主控台檢視和匯出這些事件。每個事件皆包含使用者、時間、金鑰識別碼及密碼編譯作業。

來自金鑰伺服器的金鑰會用作金鑰加密金鑰 (KEK)。

ESXi 主機

ESXi 主機負責加密工作流程的多個方面。

表 3. ESXi 主機
金鑰提供者 ESXi 主機方面
標準金鑰提供者
  • vCenter Server 會在主機需要金鑰時將金鑰推送到 ESXi 主機。主機必須已啟用加密模式。目前使用者的角色必須包含密碼編譯作業權限。請參閱加密工作的必要條件和所需權限密碼編譯作業權限
  • 確保已加密虛擬機器的客體資料在儲存到磁碟時已加密。
  • 確保已加密虛擬機器的客體資料不會在未加密的情況下透過網路傳送。
受信任金鑰提供者 ESXi 主機會執行 vSphere Trust Authority 服務,具體取決於這些主機是受信任主機還是 Trust Authority 主機。受信任的 ESXi 主機會執行工作負載虛擬機器,這些虛擬機器可以使用 Trust Authority 主機發佈的金鑰提供者進行加密。請參閱受信任基礎結構概觀
vSphere Native Key Provider ESXi 主機會直接從 vSphere Native Key Provider 擷取金鑰。

ESXi 主機所產生的金鑰在本文件中稱為內部金鑰。這些金鑰通常充當資料加密金鑰 (DEK)。