以下內容構成了受信任基礎結構:vSphere Trust Authority 服務、至少一個符合 KMIP 的外部金鑰伺服器、vCenter Server 系統和您的 ESXi 主機。

什麼是受信任基礎結構

受信任基礎結構包含至少一個 vSphere Trust Authority 叢集、至少一個受信任叢集,以及至少一個符合 KMIP 的外部金鑰伺服器。每個叢集包含執行特定 vSphere Trust Authority 服務的 ESXi 主機,如下圖所示。

圖 1. vSphere Trust Authority 服務
此圖顯示了 vSphere Trust Authority 服務,其中包括證明服務和金鑰提供者服務。

設定 Trust Authority 叢集可啟用兩項服務:

  • 證明服務
  • 金鑰提供者服務

當您設定 vSphere Trust Authority 時,受信任叢集中的 ESXi 主機會與證明服務進行通訊。金鑰提供者服務介於受信任主機與一或多個受信任金鑰提供者之間。

備註: 目前,Trust Authority 叢集中的 ESXi 主機不需要 TPM。但是,最佳做法是考慮安裝帶有 TPM 的全新 ESXi 主機。

關於 vSphere Trust Authority 證明服務

證明服務會產生一個已簽署的文件,其中包含說明了受信任叢集中遠端 ESXi 主機的二進位和組態狀態的判斷提示。證明服務會使用信賴平台模組 (TPM) 2.0 晶片做為軟體測量和報告的基礎,以證明 ESXi 主機的狀態。遠端 ESXi 主機上的 TPM 會測量軟體堆疊,並將組態資料傳送到證明服務。證明服務會驗證軟體測量簽章是否可歸於先前設定的受信任 TPM 簽署金鑰 (EK)。證明服務也可確保軟體測量與一組先前賦予的 ESXi 映像中的其中一個相符。證明服務會簽署向 ESXi 主機發出的 JSON Web Token (JWT),以提供有關 ESXi 主機的身分識別、有效性和組態的判斷提示。

什麼是 vSphere Trust Authority 金鑰提供者服務

透過金鑰提供者服務,vCenter ServerESXi 主機不再需要直接金鑰伺服器認證。在 vSphere Trust Authority 中,若要讓 ESXi 主機具有加密金鑰的存取權,必須透過金鑰提供者服務進行驗證。

若要讓金鑰提供者服務連線到金鑰伺服器,Trust Authority 管理員必須進行信任設定。對於大多數符合 KMIP 的伺服器,信任設定涉及用戶端和伺服器憑證設定。

為了確保金鑰僅發行到 ESXi 受信任主機,金鑰提供者服務將充當金鑰伺服器的閘道管理員。金鑰提供者服務使用受信任金鑰提供者的概念,對其餘資料中心軟體堆疊隱藏金鑰伺服器的特性。每個受信任的金鑰提供者都有一個已設定的主要加密金鑰,並參考一或多個金鑰伺服器。金鑰提供者服務可以有多個已設定的受信任金鑰提供者。例如,您可能想要針對組織中的每個部門設定單獨的受信任金鑰提供者。每個受信任的金鑰提供者使用不同的主要金鑰,但可以參考同一個支援金鑰伺服器。

建立受信任金鑰提供者後,金鑰提供者服務可接受來自 ESXi 受信任主機的申請,以針對該受信任金鑰提供者執行密碼編譯作業。

ESXi 受信任主機對受信任金鑰提供者申請作業時,金鑰提供者服務會確定嘗試取得加密金鑰的 ESXi 主機已經過證明。通過所有檢查後,ESXi 受信任主機從金鑰提供者服務收到加密金鑰。

vSphere Trust Authority 使用哪些連接埠

vSphere Trust Authority 服務接聽 ESXi 主機反向 Proxy 後方的連線。所有通訊都在連接埠 443 上透過 HTTPS 進行。

什麼是 vSphere Trust Authority 受信任主機

ESXi 受信任主機設定為使用受信任金鑰提供者來執行密碼編譯作業。ESXi 受信任主機透過與金鑰提供者服務和證明服務進行通訊來執行金鑰作業。若要進行驗證和授權,ESXi 受信任主機會使用從證明服務取得的 Token。若要取得有效的 Token,ESXi 受信任主機必須成功地向證明服務進行證明。Token 包含特定的宣告,用於決定 ESXi 受信任主機是否有權存取受信任金鑰提供者。

vSphere Trust Authority 和金鑰伺服器

vSphere Trust Authority 需要使用至少一個金鑰伺服器。在舊版 vSphere 中,金鑰伺服器稱為金鑰管理伺服器或 KMS。目前,vSphere 虛擬機器加密解決方案支援符合 KMIP 1.1 的金鑰伺服器。

vSphere Trust Authority 如何儲存組態和狀態資訊

vCenter Server 通常是用於 vSphere Trust Authority 組態和狀態資訊的傳遞服務。大多數 vSphere Trust Authority 組態和狀態資訊會儲存在 ConfigStore 資料庫中的 ESXi 主機上。某些狀態資訊也會儲存在 vCenter Server 資料庫中。

備註: 由於大多數 vSphere Trust Authority 組態資訊儲存在 ESXi 主機上,因此, vCenter Server 以檔案為基礎的備份機制不會備份此資訊。若要確保已儲存 vSphere Trust Authority 部署的組態資訊,請參閱 備份 vSphere Trust Authority組態

vSphere Trust Authority 如何與 vCenter Server 整合

您可以設定單獨的 vCenter Server 執行個體,以管理 Trust Authority 叢集和受信任叢集。請參閱設定 vSphere Trust Authority

在受信任叢集中,vCenter Server 會管理 Trust Authority API 呼叫,並將其傳遞至 ESXi 主機。vCenter Server 將在受信任叢集中的所有 ESXi 主機之間複寫 API 呼叫。

最初設定 vSphere Trust Authority 之後,可以在 Trust Authority 叢集或受信任叢集中新增或移除 ESXi 主機。請參閱新增和移除 vSphere Trust Authority 主機