vSAN 可以对 vSAN 数据存储中的静态数据进行加密。
启用静态数据加密后,vSAN 会在执行所有其他处理(如去重)后对数据进行加密。从集群中移除设备时,静态数据加密可保护存储设备上的数据。
需要做好一些准备工作,才能在 vSAN 数据存储上使用加密。设置完环境后,即可在 vSAN 集群上启用静态数据加密。
静态数据加密需要外部密钥管理服务器 (KMS) 或 vSphere Native Key Provider。有关 vSphere 加密的详细信息,请参见《vSphere 安全性》。
您可以使用外部密钥管理服务器 (KMS)、vCenter Server 系统以及 ESXi 主机对 vSAN 集群中的数据进行加密。vCenter Server 将从外部 KMS 请求加密密钥。KMS 生成并存储密钥,然后 vCenter Server 从 KMS 获取密钥 ID 并将其分发给 ESXi 主机。
vCenter Server 不会存储 KMS 密钥,只会保留密钥 ID 的列表。