Tenga en cuenta las siguientes directrices al trabajar con el cifrado de vSAN.
- No implemente el servidor KMS en el mismo almacén de datos de vSAN que planea cifrar.
- El cifrado requiere gran consumo de CPU. AES-NI mejora significativamente el rendimiento del cifrado. Habilite AES-NI en el BIOS.
- El host testigo de un clúster ampliado no participa en el cifrado de vSAN. Solo se almacenan metadatos en el host testigo.
- Establezca una directiva con respecto a los volcados de núcleo. Los volcados de núcleo están cifrados porque pueden contener información confidencial, por ejemplo, claves. Al descifrar un volcado de núcleo, maneje la información confidencial con cuidado. Los volcados de núcleo de ESXi pueden contener claves para el host ESXi y para los datos que este contiene.
- Siempre utilice una contraseña cuando recopile un paquete de vm-support. Puede especificar la contraseña cuando genera el paquete de soporte de vSphere Client o puede utilizar el comando vm-support.
La contraseña vuelve a cifrar los volcados de núcleo que utilizan claves internas de manera que estos volcados empleen claves basadas en la contraseña. Posteriormente, se puede usar la contraseña para descifrar cualquier volcado de núcleo cifrado que pudiera estar incluido en el paquete de soporte. Esto no afecta a los volcados de núcleo ni a los registros que estén sin cifrar.
- La contraseña que especificó durante la creación del paquete de vm-support no persiste en los componentes de vSphere. Es su responsabilidad llevar un registro de las contraseñas de los paquetes de soporte.
- Siempre utilice una contraseña cuando recopile un paquete de vm-support. Puede especificar la contraseña cuando genera el paquete de soporte de vSphere Client o puede utilizar el comando vm-support.
