您可以為新的及現有複寫啟用複寫流量資料的網路加密,以增強資料傳輸的安全性。
您可以為從來源 ESXi 主機到目標站台上資料存放區的複寫流量啟用加密。
vSphere Replication 應用裝置會在來源 ESXi 主機上自動安裝加密代理程式。對於 ESXi Lifecycle Manager 叢集中的 vSphere 主機或由 ESXi Lifecycle Manager 管理的獨立 vSphere 主機,系統會在 ESXi 映像的所需狀態中新增加密代理程式。vSphere Lifecycle Manager 負責在主機上安裝此加密代理程式。對於不由 ESXi Lifecycle Manager 管理的 vSphere 主機,此加密代理程式由 vSphere Replication 管理伺服器透過 Patch Manager 進行安裝。
網路加密使用安全傳輸通訊協定 TLSv1.2。
加密複寫流量在來源 ESXi 主機與目標站台 vSphere Replication 伺服器之間使用基於憑證的雙向驗證。
設定或重新設定複寫時,vSphere Replication 管理伺服器 (VRMS) 會使用目標 vSphere Replication 伺服器憑證的指紋更新來源虛擬機器組態。VRMS 使用來源站台中所有 ESXi 主機的憑證在目標站台上登錄每個 vSphere Replication 伺服器。將為每個配對的 vSphere Replication 站台單獨進行登錄。
無論來源 ESXi 主機和目標 vSphere Replication 伺服器的憑證授權機構如何,VRMS 都會交換加密複寫流量端點的分葉憑證的資料。
您可以在來源 ESXi 主機上執行 Shell 命令 esxcli software vib list
,並尋找 vmware-hbr-agent VIB 以確保代理程式可在您的系統中使用。
開啟網路加密功能時,代理程式會在來源 ESXi 主機上加密複寫資料,並將其傳送到目標站台上的 vSphere Replication 應用裝置。vSphere Replication 伺服器解密資料,並將其傳送到目標資料存放區。
未加密的流量會流經來源 ESXi 主機和目標站台上 vSphere Replication 應用裝置上的連接埠 31031。
已加密的流量會流經來源 ESXi 主機和目標站台上 vSphere Replication 應用裝置上的連接埠 32032。
如果您設定已加密虛擬機器的複寫,網路加密會自動開啟,且無法停用。