需要时,可以为 VMware Cloud on AWS 群集生成新的密钥加密密钥 (KEK)。

此过程称为执行浅层重新加密。 不支持更改 CMK 或 DEK。如果您必须更改 CMK 或 DEK,请创建新的群集并将虚拟机和数据迁移到其中

过程

  1. 登录到您的 SDDC 的 vSphere Client
  2. 导航到 vSAN 群集。
  3. 单击配置选项卡。
  4. 在“vSAN”下,选择服务
  5. 单击生成新的加密密钥
  6. 单击应用以生成新的 KEK。
    磁盘加密密钥 (DEK) 使用新的 KEK 重新加密。

示例: 使用 Vmware PowerCLI 执行此任务

如果您知道 CloudAdmin 密码,则可以使用类似以下命令的 PowerCLI 命令为 vSAN 服务执行浅层重新加密。此示例(所基于的 Vsan-EncryptionRekey.psl 代码示例可从 https://code.vmware.com/samples/2200#code 下载)对在 SDDC vCenter vcenter.sddc-54-200-165-35.vmwarevmc.comCluster-1 上运行的 vSan 服务进行重新加密: 

PS > ./Vsan-EncryptionRekey.psl -vCenter vcenter.sddc-54-200-165-35.vmwarevmc.com -User
      cloudadmin@vmc.local -Password cloudadmin-password -ReKey shallow -ClusterName Cluster-1