使用静态数据加密时,请考虑以下准则。
- 请勿在计划加密的同一 vSAN 数据存储上部署 KMS 服务器。
- 加密会占用大量 CPU。AES-NI 可以大幅提高加密性能。在您的 BIOS 中启用 AES-NI。
- vSAN 延伸集群中的见证主机不会参与 vSAN 加密。见证主机不存储客户数据,仅存储元数据,例如 vSAN 对象和组件的大小和 UUID。
注: 如果见证主机是在另一个集群上运行的设备,则可以加密存储在其中的元数据。在包含见证主机的集群上启用静态数据加密。
- 建立有关核心转储的策略。核心转储会进行加密,因为它们可能包含敏感信息。如果要解密核心转储,请谨慎处理其敏感信息。ESXi 核心转储可能包含用于 ESXi 主机及其数据的密钥。
- 在收集 vm-support 包时,始终应使用密码。通过 vSphere Client 或使用 vm-support 命令生成支持包时,您可以指定密码。
密码会重新加密使用内部密钥的核心转储,以便使用基于该密码的密钥。您可以在以后使用该密码来解密支持包中可能包含的任何加密核心转储。未加密的核心转储或日志不受影响。
- 在创建 vm-support 包期间指定的密码不会保留在 vSphere 组件中。您需要负责跟踪支持包的密码。
- 在收集 vm-support 包时,始终应使用密码。通过 vSphere Client 或使用 vm-support 命令生成支持包时,您可以指定密码。