Tenga en cuenta las siguientes directrices al trabajar con el cifrado de vSAN.

  • No implemente el servidor KMS en el mismo almacén de datos de vSAN que planea cifrar.

  • El cifrado requiere gran consumo de CPU. AES-NI mejora ampliamente el rendimiento de cifrado. Habilite AES-NI en el BIOS.

  • El host testigo de un clúster ampliado no participa en el cifrado de vSAN. Solo se almacenan metadatos en el host testigo.

  • Establezca una directiva para los volcados de núcleo. Los volcados de núcleo se cifran debido a que pueden contener información confidencial como claves. Al descifrar un volcado de núcleo, maneje la información confidencial con cuidado. Los volcados de núcleo de ESXi pueden contener claves para el host ESXi y para los datos que este contiene.

    • Siempre utilice una contraseña para recopilar un paquete de vm-support. Puede especificar la contraseña al generar el paquete de soporte desde vSphere Web Client o puede utilizar el comando vm-support.

      La contraseña vuelve a cifrar los volcados de núcleo que utilizan claves internas de manera que estos volcados empleen claves basadas en la contraseña. Posteriormente, se puede usar la contraseña para descifrar cualquier volcado de núcleo cifrado que pudiera estar incluido en el paquete de soporte. Esto no afecta a los volcados de núcleo ni a los registros sin cifrar.

    • La contraseña que especificó durante la creación del paquete de vm-support no persiste en los componentes de vSphere. Es su responsabilidad llevar un registro de las contraseñas de los paquetes de soporte.