启用加密时,vSAN会加密vSAN 数据存储中的所有内容。由于加密了所有文件,因此所有虚拟机及其相应的数据将受到保护。只有具备加密特权的管理员才能执行加密和解密任务。

vSAN使用加密密钥,如下所示:
  • vCenter Server从 KMS 请求 AES-256 密钥加密密钥 (KEK)。vCenter Server仅存储 KEK 的 ID,而不存储密钥本身。

  • ESXi主机使用符合行业标准的 AES-256 XTS 模式加密磁盘数据。每个磁盘都有随机生成的不同数据加密密钥 (DEK)。

  • 每个ESXi主机使用 KEK 加密其 DEK,并将加密的 DEK 存储在磁盘上。主机不会将 KEK 存储在磁盘上。如果主机重新引导,则将从 KMS 请求具有相应 ID 的 KEK。然后,主机可以根据需要解密其 DEK。
  • 主机密钥用于加密核心转储,而非数据。同一群集中的所有主机使用相同的主机密钥。收集支持包时,会生成随机密钥以便重新加密核心转储。您可以指定一个用于加密随机密钥的密码。

主机重新引导时,不会挂载其磁盘组,直到收到 KEK。完成此过程可能需要几分钟或更长时间。您可以在 vSANHealth Service 的物理磁盘 > 软件状态运行状况下监控磁盘组的状态。