如果密钥到期或已泄露,可以为静态数据生成新的加密密钥。

vSAN 集群生成新的加密密钥时,以下选项可用。
  • 如果您生成新的 KEK,vSAN 集群中的所有主机将收到来自 KMS 的新的 KEK。已使用新的 KEK 重新加密每个主机的 DEK。
  • 如果您选择执行深度重新加密并使用新的密钥重新加密所有数据,将生成新的 KEK 和新的 DEK。需要执行回滚磁盘重新格式化操作才能重新加密数据。

前提条件

  • 所需特权:
    • 主机.清单.编辑集群
    • 密码员.管理密钥
  • 您必须设置密钥提供程序,并在 vCenter Server 和 KMS 之间建立信任连接。

过程

  1. 导航到 vSAN 主机集群。
  2. 单击配置选项卡。
  3. 在“vSAN”下,选择服务
  4. 单击生成新的加密密钥
  5. 要生成新的 KEK,请单击应用。将使用新 KEK 重新加密 DEK。
    • 要生成新的 KEK 和新的 DEK,并重新加密 vSAN 集群中的所有数据,请选中以下复选框:同时使用新的密钥重新加密存储器上的所有数据
    • 如果 vSAN 集群的资源有限,请选中允许精简冗余复选框。如果允许减少冗余,执行磁盘重新格式化操作过程中数据可能会处于风险中。