启用加密时，vSAN 会加密 vSAN 数据存储中的所有内容。由于加密了所有文件，因此所有虚拟机及其相应的数据将受到保护。仅具有加密特权的管理员可以执行加密和解密任务。

vSAN 使用加密密钥，如下所示：

• vCenter Server 从 KMS 请求 AES-256 密钥加密密钥 (KEK)。vCenter Server 仅存储 KEK 的 ID，而不存储密钥本身。

• ESXi 主机使用符合行业标准的 AES-256 XTS 模式加密磁盘数据。每个磁盘都有随机生成的不同数据加密密钥 (DEK)。

• 每个 ESXi 主机使用 KEK 加密其 DEK，并将加密的 DEK 存储在磁盘上。主机不会将 KEK 存储在磁盘上。如果主机重新引导，则将从 KMS 请求具有相应 ID 的 KEK。然后，主机可以根据需要解密其 DEK。

• 主机密钥用于加密核心转储，而非数据。同一群集中的所有主机使用相同的主机密钥。收集支持包时，会生成随机密钥以便重新加密核心转储。加密随机密钥时，请使用密码。

主机重新引导时，不会挂载其磁盘组，直到收到 KEK。完成此过程可能需要几分钟或更长时间。您可以在 vSAN Health Service 的物理磁盘 > 软件状态运行状况下监控磁盘组的状态。