在 vSphere 7.0 Update 2 及更新版本中,即使金鑰伺服器暫時離線或無法使用,加密的虛擬機器和虛擬 TPM 仍可繼續運作 (可選)。ESXi 主機可保存加密金鑰以繼續執行加密和 vTPM 作業。
在 vSphere 7.0 Update 2 之前,加密的虛擬機器和 vTPM 要求金鑰伺服器始終可以運作。在 vSphere 7.0 Update 2 及更新版本中,即使對金鑰伺服器的存取已中斷,加密的裝置仍可運作。
在 vSphere 7.0 Update 3 及更新版本中,即使對金鑰提供者的存取已中斷,加密 vSAN 叢集也可以正常運作。
ESXi 主機上的金鑰持續性的運作方式
使用標準金鑰提供者時,ESXi 主機依賴 vCenter Server 管理加密金鑰。使用受信任金鑰提供者時,ESXi 主機直接依賴 Trust Authority 主機取得金鑰,並未涉及 vCenter Server。vSphere Native Key Provider 處理金鑰的方式不同。如需詳細資訊,請參閱下一節。
無論金鑰提供者的類型為何,ESXi 主機會從一開始取得金鑰並將其保留在金鑰快取中。如果 ESXi 主機重新開機,將會失去其金鑰快取。然後,ESXi 主機從金鑰伺服器 (標準金鑰提供者) 或 Trust Authority 主機 (受信任的金鑰提供者) 再次請求金鑰。當 ESXi 主機嘗試取得金鑰且金鑰伺服器已離線或無法連線時,vTPM 和工作負載加密將無法運作。對於 Edge 式部署 (金鑰伺服器通常未部署在站台中),與金鑰伺服器中斷連線可能會導致加密的工作負載出現不必要的停機時間。
在 vSphere 7.0 Update 2 及更新版本中,即使金鑰伺服器已離線或無法連線,加密的工作負載仍可繼續運作。如果 ESXi 主機具有 TPM,則加密金鑰將在重新開機過程中一直保存於 TPM 中。因此,即使 ESXi 主機重新開機,該主機也不需要請求加密金鑰。此外,當金鑰伺服器無法使用時,加密和解密作業也可繼續進行,因為這些金鑰一直保存在 TPM 中。本質上來說,當金鑰伺服器或 Trust Authority 主機無法使用時,您可以繼續以「無金鑰伺服器」方式執行加密的工作負載,具體取決於金鑰提供者。此外,即使金鑰伺服器無法連線,vTPM 也可繼續運作。
金鑰持續性和 vSphere Native Key Provider
使用 vSphere Native Key Provider 時,vSphere 會產生加密金鑰,並且不需要金鑰伺服器。ESXi 主機取得金鑰衍生金鑰 (KDK),可用來衍生其他金鑰。收到 KDK 並產生其他金鑰後,ESXi 主機不需要存取 vCenter Server,即可執行加密作業。本質上來說,vSphere Native Key Provider 始終以「無金鑰伺服器」方式執行。
依預設,即使 ESXi 主機重新開機,甚至 vCenter Server 在主機重新開機後不可用時,KDK 仍會保留在主機上。
您可以使用 vSphere Native Key Provider 啟用金鑰持續性,但通常無需執行此操作。ESXi 主機可完全存取 vSphere Native Key Provider,因此額外的金鑰持續性是冗餘的。使用 vSphere Native Key Provider 啟用金鑰持續性的一個使用案例是,同時設定了標準金鑰提供者 (外部 KMIP 伺服器) 的情況。
如何設定金鑰持續性
若要啟用或停用金鑰持續性,請參閱 在 ESXi 主機上啟用和停用金鑰持續性。