您可以關注 vSphere 金鑰提供者功能的高層級概觀,這有助於規劃加密策略。
一般而言,金鑰提供者每日作業在功能或產品支援方面幾乎沒有區別。儘管金鑰提供者的外觀與行為類似,但是在選擇金鑰提供者時可能需要考慮一些需求和規範,如下表所示。
金鑰提供者 | 是否需要外部金鑰伺服器? | 執行快速設定? | 僅適用於 vSphere? | 加密金鑰是否永久儲存在主機上? | 複製時重設金鑰? |
---|---|---|---|---|---|
標準金鑰提供者 | 是 | 否 | 否 | 否 | 是 |
受信任金鑰提供者 | 是 | 否 | 否 | 否 | 是 |
vSphere Native Key Provider | 否 | 是 | 是 | 是 | 是 |
備註: 在主機啟動時,vSphere Native Key Provider 始終會將加密金鑰寫入叢集中的
ESXi 主機。如果您擔心叢集的實體安全性,請考慮使用標準金鑰提供者或受信任金鑰提供者,這兩種方法都要求金鑰伺服器可用於讓加密虛擬機器正常運行。
金鑰提供者加密功能
每個金鑰提供者類型均支援以下加密功能。
- 使用同一金鑰提供者或其他金鑰提供者重設金鑰
- 輪替金鑰
- 虛擬信賴平台模組 (vTPM)
- 磁碟加密
- vSphere 虛擬機器加密
- 與其他金鑰提供者共存
- 升級為其他金鑰提供者
對 vSphere 功能的金鑰提供者支援
以下說明了對某些重要 vSphere 功能的金鑰提供者支援。
- 已加密的 vSphere vMotion:受所有金鑰提供者類型支援。目的地主機上必須存在相同的金鑰提供者。請參閱什麼是已加密的 vSphere vMotion?。
- vCenter Server 以檔案為基礎的備份和還原:標準金鑰提供者和 vSphere Native Key Provider 支援 vCenter Server 以檔案為基礎的備份和還原。由於大多數 vSphere Trust Authority 組態資訊儲存在 ESXi 主機上,因此,vCenter Server 以檔案為基礎的備份機制不會備份此資訊。若要確保已儲存 vSphere Trust Authority 部署的組態資訊,請參閱 備份 vSphere Trust Authority組態。
對 VMware 產品的金鑰提供者支援
下表比較了對某些 VMware 產品的金鑰提供者支援。
金鑰提供者 | vSAN 靜態資料加密 | Site Recovery Manager | vSphere Replication |
---|---|---|---|
標準金鑰提供者 | 是 | 是 | 是 |
受信任金鑰提供者 | 否 | 是 如果在復原端有相同的 vSphere Trust Authority 服務組態,則支援使用陣列式複寫的 SRM。 |
否 |
vSphere Native Key Provider | 是 | 是 | 是 |
備註:
除了支援 vSAN 之外,標準金鑰提供者、受信任金鑰提供者和 vSphere Native Key Provider 還支援 vSphere 虛擬機器加密。
金鑰提供者所需的硬體
下表比較了一些最低金鑰提供者硬體需求。
金鑰提供者 | ESXi 主機上的 TPM |
---|---|
標準金鑰提供者 | 非必要 |
受信任金鑰提供者 | 在受信任主機 (受信任叢集中的主機) 上是必要的。
備註: 目前,Trust Authority 叢集中的
ESXi 主機不需要 TPM。但是,最佳做法是考慮安裝帶有 TPM 的全新
ESXi 主機。
|
vSphere Native Key Provider | 非必要 vSphere Native Key Provider 可用性可以選擇性地限制為具有 TPM 的主機。 |
金鑰提供者命名
vSphere 使用金鑰提供者名稱查詢金鑰識別碼。如果兩個金鑰提供者具有相同的名稱,vSphere 會假定它們是等效的並且可以存取相同的金鑰。每個邏輯金鑰提供者 (無論其類型為標準、可信任還是本機) 都必須在所有 vCenter Server 系統中具有唯一的名稱。
在少數情況下,您可以跨多個 vCenter Server 系統設定同一個金鑰提供者,例如:
- 在 vCenter Server 系統之間移轉加密的虛擬機器
- 將 vCenter Server 設定為災難復原站台