您可以關注 vSphere 金鑰提供者功能的高層級概觀,這有助於規劃加密策略。

一般而言,金鑰提供者每日作業在功能或產品支援方面幾乎沒有區別。儘管金鑰提供者的外觀與行為類似,但是在選擇金鑰提供者時可能需要考慮一些需求和規範,如下表所示。

表 1. 金鑰提供者考量事項
金鑰提供者 是否需要外部金鑰伺服器? 執行快速設定? 僅適用於 vSphere? 加密金鑰是否永久儲存在主機上? 複製時重設金鑰?
標準金鑰提供者
受信任金鑰提供者
vSphere Native Key Provider
備註: 在主機啟動時,vSphere Native Key Provider 始終會將加密金鑰寫入叢集中的 ESXi 主機。如果您擔心叢集的實體安全性,請考慮使用標準金鑰提供者或受信任金鑰提供者,這兩種方法都要求金鑰伺服器可用於讓加密虛擬機器正常運行。

金鑰提供者加密功能

每個金鑰提供者類型均支援以下加密功能。

  • 使用同一金鑰提供者或其他金鑰提供者重設金鑰
  • 輪替金鑰
  • 虛擬信賴平台模組 (vTPM)
  • 磁碟加密
  • vSphere 虛擬機器加密
  • 與其他金鑰提供者共存
  • 升級為其他金鑰提供者

對 vSphere 功能的金鑰提供者支援

以下說明了對某些重要 vSphere 功能的金鑰提供者支援。

  • 已加密的 vSphere vMotion:受所有金鑰提供者類型支援。目的地主機上必須存在相同的金鑰提供者。請參閱什麼是已加密的 vSphere vMotion?
  • vCenter Server 以檔案為基礎的備份和還原:標準金鑰提供者和 vSphere Native Key Provider 支援 vCenter Server 以檔案為基礎的備份和還原。由於大多數 vSphere Trust Authority 組態資訊儲存在 ESXi 主機上,因此,vCenter Server 以檔案為基礎的備份機制不會備份此資訊。若要確保已儲存 vSphere Trust Authority 部署的組態資訊,請參閱 備份 vSphere Trust Authority組態

對 VMware 產品的金鑰提供者支援

下表比較了對某些 VMware 產品的金鑰提供者支援。

表 2. VMware 產品支援比較
金鑰提供者 vSAN 靜態資料加密 Site Recovery Manager vSphere Replication
標準金鑰提供者
受信任金鑰提供者

如果在復原端有相同的 vSphere Trust Authority 服務組態,則支援使用陣列式複寫的 SRM。

vSphere Native Key Provider
備註:

除了支援 vSAN 之外,標準金鑰提供者、受信任金鑰提供者和 vSphere Native Key Provider 還支援 vSphere 虛擬機器加密。

金鑰提供者所需的硬體

下表比較了一些最低金鑰提供者硬體需求。

表 3. 金鑰提供者所需硬體的比較
金鑰提供者 ESXi 主機上的 TPM
標準金鑰提供者 非必要
受信任金鑰提供者 在受信任主機 (受信任叢集中的主機) 上是必要的。

備註: 目前,Trust Authority 叢集中的 ESXi 主機不需要 TPM。但是,最佳做法是考慮安裝帶有 TPM 的全新 ESXi 主機。
vSphere Native Key Provider 非必要

vSphere Native Key Provider 可用性可以選擇性地限制為具有 TPM 的主機。

金鑰提供者命名

vSphere 使用金鑰提供者名稱查詢金鑰識別碼。如果兩個金鑰提供者具有相同的名稱,vSphere 會假定它們是等效的並且可以存取相同的金鑰。每個邏輯金鑰提供者 (無論其類型為標準、可信任還是本機) 都必須在所有 vCenter Server 系統中具有唯一的名稱。

在少數情況下,您可以跨多個 vCenter Server 系統設定同一個金鑰提供者,例如:

  • vCenter Server 系統之間移轉加密的虛擬機器
  • vCenter Server 設定為災難復原站台