Wenn Sie die Verschlüsselung aktivieren, verschlüsselt vSAN alles, was sich im vSAN-Datenspeicher befindet. Alle Dateien werden verschlüsselt, sodass alle virtuellen Maschinen und ihre entsprechenden Daten geschützt sind. Nur Administratoren mit Berechtigungen zum Verschlüsseln können Verschlüsselungs- und Entschlüsselungsaufgaben durchführen.
- vCenter Server fordert einen AES-256-KEK vom KMS an. vCenter Server speichert nur die ID des KEK, nicht jedoch den Schlüssel selbst.
Der ESXi-Host verschlüsselt die Festplattendaten im branchenüblichen AES-256-XTS-Modus. Jede Festplatte verfügt über einen anderen zufällig erzeugten Datenverschlüsselungsschlüssel (Data Encryption Key, DEK).
- Jeder ESXi-Host verwendet den KEK, um seine DEKs zu verschlüsseln, und speichert die verschlüsselten DEKs auf Festplatte. Der Host speichert den KEK nicht auf der Festplatte. Wenn ein Host neu gestartet wird, fordert er vom KMS den KEK mit der entsprechenden ID an. Der Host kann dann seine DEKs nach Bedarf entschlüsseln.
- Ein Hostschlüssel wird zum Verschlüsseln von Core-Dumps, nicht von Daten, verwendet. Alle Hosts im selben Cluster verwenden denselben Hostschlüssel. Beim Erfassen von Support-Paketen wird zur Neuverschlüsselung der Core-Dumps ein Zufallsschlüssel erzeugt. Sie können zum Verschlüsseln des Zufallsschlüssels ein Kennwort angeben.
Wenn ein Host neu gestartet wird, werden dessen Festplattengruppen erst dann gemountet, wenn er den KEK erhalten hat. Dieser Vorgang kann einige Minuten oder länger dauern. Sie können im vSAN-Integritätsdienst unter Physische Festplatten > Softwarezustand-Integrität den Status der Festplattengruppen überwachen.