vSAN 可以对 vSAN 数据存储中的静态数据进行加密。

启用静态数据加密后，vSAN 会在执行所有其他处理（如去重）后对数据进行加密。从集群中移除设备时，静态数据加密可保护存储设备上的数据。

需要做好一些准备工作，才能在 vSAN 数据存储上使用加密。设置完环境后，即可在 vSAN 集群上启用静态数据加密。

静态数据加密需要外部密钥管理服务器 (KMS) 或 vSphere Native Key Provider。有关 vSphere 加密的详细信息，请参见《vSphere 安全性》。

您可以使用外部密钥管理服务器 (KMS)、vCenter Server 系统以及 ESXi 主机对 vSAN 集群中的数据进行加密。vCenter Server 将从外部 KMS 请求加密密钥。KMS 生成并存储密钥，然后 vCenter Server 从 KMS 获取密钥 ID 并将其分发给 ESXi 主机。

vCenter Server 不会存储 KMS 密钥，只会保留密钥 ID 的列表。