Vous pouvez générer de nouvelles clés de chiffrement si une clé expire ou devient compromise.

Pourquoi et quand exécuter cette tâche

Les options suivantes sont disponibles lorsque vous générez de nouvelles clés de chiffrement pour votre cluster vSAN.

  • Si vous générez une nouvelle clé KEK, tous les hôtes dans le cluster vSAN reçoivent la nouvelle clé KEK du serveur KMS. La clé DEK de chaque hôte est rechiffrée avec la nouvelle clé KEK.

  • Si vous choisissez de rechiffrer toutes les données en utilisant de nouvelles clés, de nouvelles clés KEK et DEK sont générées. Un reformatage de disque successif est requis pour rechiffrer les données.

Préambules

  • Privilèges requis :

    • Host > Inventory > EditCluster

    • Cryptographer > ManageKeys

  • Vous devez avoir configuré un cluster KMS et établi une connexion approuvée entre vCenter Server et le serveur KMS.

Procédure

  1. Accédez au cluster hôte vSAN dans vSphere Web Client.
  2. Cliquez sur l'onglet Configurer.
  3. Sous vSAN, sélectionnez General.
  4. Dans le volet vSAN est activé, cliquez sur le bouton Générer de nouvelles clés de chiffrement.
  5. Pour générer une nouvelle clé KEK, cliquez sur OK. Les clés DEK seront rechiffrées avec la nouvelle clé KEK.
    • Pour générer une ou des nouvelles clés KEK, et rechiffrer toutes les données dans le cluster vSAN, cochez la case suivante : Rechiffrer également toutes les données du stockage avec de nouvelles clés.

    • Si votre cluster vSAN dispose de ressources limitées, cochez la case Autoriser la redondance réduite. Si vous autorisez une redondance réduite, vos données peuvent être menacées pendant une opération de reformatage du disque.