Es posible crear nuevas claves de cifrado en caso de que una clave caduque o se vea comprometida.

Por qué y cuándo se efectúa esta tarea

Al generar nuevas claves de cifrado para el clúster de vSAN, están disponibles las siguientes opciones:

  • Si genera una nueva KEK, todos los hosts del clúster de vSAN reciben la nueva KEK del KMS. La DEK de cada host se vuelve a cifrar con la nueva KEK.

  • Si elige volver a cifrar todos los datos con claves nuevas, se generan una nueva KEK y una nueva DEK. Para volver a cifrar los datos, es preciso reformatear el disco en forma sucesiva.

Requisitos

  • Privilegios necesarios:

    • Host > Inventory > EditCluster (Host.Inventario.EditarClúster)

    • Cryptographer > ManageKeys(Criptógrafo.AdministrarClaves)

  • Se debe haber configurado un clúster de KMS y establecido una conexión de confianza entre vCenter Server y KMS.

Procedimiento

  1. Desplácese hasta el clúster del host de vSAN en vSphere Web Client.
  2. Haga clic en la pestaña Configurar.
  3. En vSAN, seleccione General.
  4. En el panel vSAN está activado, haga clic en el botón Generar nuevas claves de cifrado.
  5. Para generar una nueva KEK, haga clic en OK (Aceptar). Las DEK se volverán a cifrar con la nueva KEK.
    • Para generar una nueva KEK y nuevas DEK, y para volver a cifrar todos los datos del clúster de vSAN, active la siguiente casilla: También vuelva a cifrar todos los datos en el almacenamiento con nuevas claves.

    • Si el clúster de vSAN tiene recursos limitados, marque la casilla Permitir redundancia reducida. Si permite la redundancia reducida, es posible que los datos estén en riesgo durante la operación de reformateo de disco.