使用 vSAN 加密时，请考虑以下准则。

• 请勿在计划加密的同一 vSAN 数据存储上部署 KMS 服务器。

• 加密会占用大量 CPU。AES-NI 可以大幅提高加密性能。在您的 BIOS 中启用 AES-NI。

• 延伸群集中的见证主机不会参与 vSAN 加密。仅元数据存储在见证主机上。

• 建立有关核心转储的策略。核心转储会进行加密，因为它们可能包含敏感信息（例如密钥）。如果要解密核心转储，请谨慎处理其敏感信息。ESXi 核心转储可能包含用于 ESXi 主机及其数据的密钥。

  • 在收集 vm-support 包时，始终应使用密码。通过 vSphere Web Client 或使用 vm-support 命令生成支持包时，您可以指定密码。

    密码会重新加密使用内部密钥的核心转储，以便使用基于该密码的密钥。您可以在以后使用该密码来解密支持包中可能包含的任何加密核心转储。未加密的核心转储或日志不受影响。

  • 在创建 vm-support 包期间指定的密码不会保留在 vSphere 组件中。您需要负责跟踪支持包的密码。