Sie können neue Verschlüsselungsschlüssel für ruhende Daten generieren, falls ein Schlüssel abläuft oder kompromittiert wird.

Die folgenden Optionen stehen zur Verfügung, wenn Sie neue Verschlüsselungsschlüssel für Ihren vSAN-Cluster generieren.
  • Wenn Sie einen neuen KEK generieren, erhalten alle Hosts im vSAN-Cluster den neuen KEK vom KMS. Der DEK eines jeden Hosts wird mit dem neuen KEK neu verschlüsselt.
  • Wenn Sie alle Daten mit neuen Schlüsseln neu verschlüsseln möchten, werden ein neuer KEK und neue DEKs generiert. Eine rollierende Neuformatierung der Festplatten ist erforderlich, um die Daten neu zu verschlüsseln.

Voraussetzungen

  • Erforderliche Rechte:
    • Host.Inventory.EditCluster
    • Cryptographer.ManageKeys
  • Sie müssen einen Schlüsselanbieter eingerichtet und eine vertrauenswürdige Verbindung zwischen vCenter Server und dem KMS hergestellt haben.

Prozedur

  1. Navigieren Sie zum vSAN-Host-Cluster.
  2. Klicken Sie auf die Registerkarte Konfigurieren.
  3. Wählen Sie unter „vSAN“ die Option Dienste aus.
  4. Klicken Sie auf Neue Verschlüsselungsschlüssel generieren.
  5. Klicken Sie auf Übernehmen, um einen neuen KEK zu generieren. Die DEKs werden mit dem neuen KEK neu verschlüsselt.
    • Um einen neuen KEK und neue DEKs zu generieren und alle Daten im vSAN-Cluster neu zu verschlüsseln, aktivieren Sie das Kontrollkästchen Neue Schlüssel auch zum Verschlüsseln aller Daten auf dem Speicher verwenden.
      Hinweis: Diese „tiefe erneute Schlüsselerstellung“ wird in vSphere 8.0 nicht unterstützt, wenn vSAN Express Storage Architecture im Cluster aktiviert ist.
      .
    • Wenn der vSAN-Cluster über beschränkte Ressourcen verfügt, aktivieren Sie das Kontrollkästchen Verringerte Redundanz zulassen. Wenn Sie verringerte Redundanz zulassen, sind Ihre Daten bei der Neuformatierung der Festplatte möglicherweise gefährdet.