您可以從 vSphere Client 或使用公開 API,將標準金鑰提供者新增至 vCenter Server 系統。

透過 vSphere Client,可以將標準金鑰提供者新增到 vCenter Server 系統,並在金鑰伺服器和 vCenter Server 之間建立信任。

  • 您可以新增來自同一廠商的多個金鑰伺服器。
  • 如果您的環境支援不同廠商提供的解決方案,則可以新增多個金鑰提供者。
  • 如果您的環境包含多個金鑰提供者,且刪除了預設金鑰提供者,則必須明確設定其他預設值。
  • 您可以使用 IPv6 位址設定金鑰伺服器。
    • vCenter Server 系統和金鑰伺服器都可以僅設定 IPv6 位址。

必要條件

  • 確認金鑰伺服器 (KMS) 位於《適用於金鑰管理伺服器 (KMS) 的 VMware 相容性指南》並與 KMIP 1.1 相容,而且可以是對稱金鑰 Foundry 和伺服器。
  • 確認您具有所需權限:密碼編譯作業.管理金鑰伺服器
  • 確保金鑰伺服器具有高可用性。中斷與金鑰伺服器的連線 (例如,在斷電或災難復原事件期間),會導致加密的虛擬機器無法存取。
    備註: 從 vSphere 7.0 Update 2 開始,即使金鑰伺服器暫時離線或無法使用,加密的虛擬機器和虛擬 TPM 仍可繼續運作。請參閱 ESXi 主機上的 vSphere 金鑰持續性
  • 請仔細考慮您的基礎結構對金鑰伺服器的相依性。某些 KMS 解決方案會做為虛擬應用裝置提供,可讓您建立相依性迴圈或其他關於無法放置 KMS 應用裝置的可用性問題。

程序

  1. 使用 vSphere Client 登入 vCenter Server 系統。
  2. 瀏覽詳細目錄清單,並選取 vCenter Server 執行個體。
  3. 按一下設定,然後按一下安全性下的金鑰提供者
  4. 按一下新增標準金鑰提供者,然後輸入金鑰提供者資訊。
    選項
    名稱 金鑰提供者的名稱。

    每個邏輯金鑰提供者 (無論其類型為標準、可信任還是本機) 都必須在所有 vCenter Server 系統中具有唯一的名稱。

    如需詳細資訊,請參閱 金鑰提供者命名

    KMS 金鑰伺服器 (KMS) 的別名。
    位址 金鑰伺服器的 IP 位址或 FQDN。
    連接埠 vCenter Server 連線至金鑰伺服器所在的連接埠。
    Proxy 伺服器 用於連線至金鑰伺服器的選用 Proxy 伺服器位址。
    Proxy 連接埠 用於連線至金鑰伺服器的選用 Proxy 連接埠。
    使用者名稱 有些金鑰伺服器廠商允許使用者透過指定使用者名稱和密碼,隔離不同使用者或群組所使用的加密金鑰。只有在金鑰伺服器支援此功能,且您想要使用此功能時,才指定使用者名稱。
    密碼 有些金鑰伺服器廠商允許使用者透過指定使用者名稱和密碼,隔離不同使用者或群組所使用的加密金鑰。只有在金鑰伺服器支援此功能,且您想要使用此功能時,才指定密碼。
    您可以按一下 新增 KMS,以新增更多金鑰伺服器。
  5. 按一下新增金鑰提供者
  6. 按一下信任
    vCenter Server 會新增金鑰提供者,並將狀態顯示為 [已連線]。

下一步

請參閱 透過交換憑證建立標準金鑰提供者信任連線