Sie können neue Verschlüsselungsschlüssel für ruhende Daten generieren, falls ein Schlüssel abläuft oder kompromittiert wird.

Die folgenden Optionen stehen zur Verfügung, wenn Sie neue Verschlüsselungsschlüssel für Ihren vSAN-Cluster generieren.
  • Wenn Sie einen neuen KEK generieren, erhalten alle Hosts im vSAN-Cluster den neuen KEK vom KMS. Der DEK eines jeden Hosts wird mit dem neuen KEK neu verschlüsselt.
  • Wenn Sie eine tiefe erneute Schlüsselerstellung durchführen möchten und alle Daten mit neuen Schlüsseln neu verschlüsseln, werden ein neuer KEK und neue DEKs generiert. Eine rollierende Neuformatierung der Datenträger ist erforderlich, um die Daten neu zu verschlüsseln.

Voraussetzungen

  • Erforderliche Rechte:
    • Host.Inventory.EditCluster
    • Cryptographer.ManageKeys
  • Sie müssen einen Schlüsselanbieter eingerichtet und eine vertrauenswürdige Verbindung zwischen vCenter Server und dem KMS hergestellt haben.

Prozedur

  1. Navigieren Sie zum vSAN-Host-Cluster.
  2. Klicken Sie auf die Registerkarte Konfigurieren.
  3. Wählen Sie unter „vSAN“ die Option Dienste aus.
  4. Klicken Sie auf Neue Verschlüsselungsschlüssel generieren.
  5. Klicken Sie auf Übernehmen, um einen neuen KEK zu generieren. Die DEKs werden mit dem neuen KEK neu verschlüsselt.
    • Um einen neuen KEK und neue DEKs zu generieren und alle Daten im vSAN-Cluster neu zu verschlüsseln, aktivieren Sie das Kontrollkästchen Auch alle Daten auf dem Speicher mit neuen Schlüsseln neu verschlüsseln.
    • Wenn der vSAN-Cluster über beschränkte Ressourcen verfügt, aktivieren Sie das Kontrollkästchen Verringerte Redundanz zulassen. Wenn Sie verringerte Redundanz zulassen, sind Ihre Daten bei der Neuformatierung des Datenträgers möglicherweise gefährdet.