针对 VMware 的 KMIP 的高可用性和灾难恢复
用于 VMware® 的密钥管理互操作性协议 (KMIP™) 对 Key Protect 的支持将于 2026 年 7 月 16 日终止,此后,与 Key Protect 服务的互操作性将失效。 迁移到 IBM® Key Protect 为 IBM Cloud®。
本公告仅适用于使用 KMIP for VMware 支持 Key Protect 的客户。 使用 KMIP 实现 VMware 支持 Hyper Protect Crypto Services (HPCS) 的客户不受此公告影响。 VMware 支持 HPCS 的 KMIP 继续照常运行,不受任何影响。
区域内的高可用性
在单一区域内:
- VMware 的 KMIP 和 Key Protect 在正确配置后具有高可用性。 如果该区域中三个区中的任何一个完全失效,密钥管理仍可继续用于VMware®工作负载。
- 如果为 HPCS 实例部署两个或更多加密单元,VMware 的 KMIP 和 Hyper Protect Crypto Services (HPCS) 将高度可用。 如果这样做,并且该区域中的三个区中的任何一个完全失效,则 VMware 工作负载仍可继续使用密钥管理。
跨地区灾后恢复
使用 VMware vSAN® 加密时,每个站点都由自己的密钥提供者保护。 如果使用 vSAN 加密来保护在多个站点之间复制的工作负载,则必须为每个站点中的 VMware 实例创建单独的 KMIP,并将其连接到这些站点中单独的 Key Protect 或 HPCS 实例。 您必须将每个站点的 VMware vCenter Server® 连接到本地 KMIP for VMware 实例作为其密钥提供程序。
当您使用 VMware vSphere® 加密时,目前大多数 VMware 复制和迁移技术(例如、cross-vCenter vMotion 和 vSphere 复制)都依赖于在两个站点之间使用共同的密钥管理器。 VMware 的 KMIP 不支持此拓扑。 相反,您必须在每个站点为 VMware 实例创建单独的 KMIP,该 KMIP 与这些站点中单独的 Key Protect 或 HPCS 实例相连。 您必须将每个站点的 vCenter 服务器连接到本地 KMIP for VMware 实例作为其密钥提供程序,然后使用支持附加和复制解密磁盘的复制技术。
Veeam Backup and Replication 支持这种复制技术。 要实施此技术,请参阅 您必须采取的步骤,如 Veeam® 文档所示。
此技术不支持使用 vTPM 设备复制虚拟机。
