您可以關注 vSphere 金鑰提供者功能的高層級概觀,這有助於規劃加密策略。
一般而言,金鑰提供者每日作業在功能或產品支援方面幾乎沒有區別。儘管金鑰提供者的外觀與行為類似,但是在選擇金鑰提供者時可能需要考慮一些需求和規範,如下表所示。
金鑰提供者 | 是否需要外部金鑰伺服器? | 執行快速設定? | 僅適用於 vSphere? |
---|---|---|---|
標準金鑰提供者 | 是 | 否 | 否 |
受信任金鑰提供者 | 是 | 否 | 否 |
vSphere Native Key Provider | 否 | 是 | 是 |
加密功能
每個金鑰提供者類型均支援以下加密功能。
- 使用同一金鑰提供者或其他金鑰提供者重設金鑰
- 輪替金鑰
- 虛擬信賴平台模組 (vTPM)
- 磁碟加密
- vSphere 虛擬機器加密
- 與其他金鑰提供者共存
- 升級為其他金鑰提供者
vSphere 功能
以下說明了對某些重要 vSphere 功能的金鑰提供者支援。
- 已加密的 vSphere vMotion:受所有金鑰提供者類型支援。目的地主機上必須存在相同的金鑰提供者。請參閱已加密的 vSphere vMotion。
- vCenter Server 以檔案為基礎的備份和還原:標準金鑰提供者和 vSphere Native Key Provider 支援 vCenter Server 以檔案為基礎的備份和還原。由於大多數 vSphere Trust Authority 組態資訊儲存在 ESXi 主機上,因此,vCenter Server 以檔案為基礎的備份機制不會備份此資訊。若要確保已儲存 vSphere Trust Authority 部署的組態資訊,請參閱 備份 vSphere Trust Authority組態。
VMware 產品
下表比較了對某些 VMware 產品的金鑰提供者支援。
金鑰提供者 | vSAN | Site Recovery Manager | vSphere Replication |
---|---|---|---|
標準金鑰提供者 | 是 | 是 | 是 |
受信任金鑰提供者 | 是 | 是 如果在復原端有相同的 vSphere Trust Authority 服務組態,則支援使用陣列式複寫的 SRM。 |
否 |
vSphere Native Key Provider | 是 | 是 | 是 |
所需硬體
下表比較了一些最低金鑰提供者硬體需求。
金鑰提供者 | ESXi 主機上的 TPM |
---|---|
標準金鑰提供者 | 非必要 |
受信任金鑰提供者 | 在受信任主機 (受信任叢集中的主機) 上是必要的。
備註: 目前,Trust Authority 叢集中的
ESXi 主機不需要 TPM。但是,最佳做法是考慮安裝帶有 TPM 的全新
ESXi 主機。
|
vSphere Native Key Provider | 非必要 vSphere Native Key Provider 可用性可以選擇性地限制為具有 TPM 的主機。 |
金鑰提供者命名
vSphere 使用金鑰提供者名稱查詢金鑰識別碼。如果兩個金鑰提供者具有相同的名稱,vSphere 會假定它們是等效的並且可以存取相同的金鑰。每個邏輯金鑰提供者 (無論其類型為標準、可信任還是本機) 都必須在所有 vCenter Server 系統中具有唯一的名稱。
在少數情況下,您可以跨多個 vCenter Server 系統設定同一個金鑰提供者,例如:
- 在 vCenter Server 系統之間移轉加密的虛擬機器
- 將 vCenter Server 設定為災難復原站台