启用静态数据加密时,vSAN 会加密 vSAN 数据存储中的所有内容。
- vCenter Server 从 KMS 请求 AES-256 密钥加密密钥 (Key Encryption Key, KEK)。vCenter Server 仅存储 KEK 的 ID,而不存储密钥本身。
-
ESXi 主机使用符合行业标准的 AES-256 XTS 模式加密磁盘数据。每个磁盘都有随机生成的不同数据加密密钥 (DEK)。
- 每个 ESXi 主机使用 KEK 加密其 DEK,并将加密的 DEK 存储在磁盘上。主机不会将 KEK 存储在磁盘上。如果主机重新引导,则将从 KMS 请求具有相应 ID 的 KEK。然后,主机可以根据需要解密其 DEK。
- 主机密钥用于加密核心转储,而非数据。同一集群中的所有主机使用相同的主机密钥。收集支持包时,会生成随机密钥以便重新加密核心转储。您可以指定一个用于加密随机密钥的密码。
主机重新引导时,不会挂载其磁盘组,直到收到 KEK。完成此过程可能需要几分钟或更长时间。您可以在 vSAN Health Service 的物理磁盘 > 软件状态运行状况下监控磁盘组的状态。
加密密钥持久性
在 vSAN 7.0 Update 3 及更高版本中,即使密钥服务器暂时脱机或无法访问,静态数据加密也可以继续工作。启用密钥持久性后,即使在重新引导后,ESXi 主机也可以保留加密密钥。
每个 ESXi 主机最初都会获取加密密钥,并将其保留在其密钥缓存中。如果 ESXi 主机具有可信平台模块 (Trusted Platform Module, TPM),即使重新引导,加密密钥也会保留在 TPM 中。主机不需要请求加密密钥。当密钥服务器不可用时,仍然可以继续进行加密操作,因为密钥保留在 TPM 中。
使用以下命令在集群主机上启用密钥持久性。
esxcli system settings encryption set --mode=TPM
esxcli system security keypersistence enable
有关加密密钥持久性的详细信息,请参见《vSphere 安全性》中的“密钥持久性概览”。
使用 vSphere Native Key Provider
vSAN 7.0 Update 2 支持 vSphere Native Key Provider。如果您的环境中设置了 vSphere Native Key Provider,则可以使用它加密 vSAN 集群中的虚拟机。有关详细信息,请参见《vSphere 安全性》中的“配置和管理 vSphere Native Key Provider”。
vSphere Native Key Provider 不需要外部密钥管理服务器 (KMS)。vCenter Server 会生成密钥加密密钥,并将其推送到 ESXi 主机。然后,ESXi 主机会生成数据加密密钥。
vSphere Native Key Provider 可以与现有的密钥服务器基础架构共存。
