Lorsque vous activez le chiffrement, vSAN chiffre tout le contenu de la banque de données vSAN. Tous les fichiers sont chiffrés, de telle sorte que toutes les machines virtuelles et leurs données correspondantes sont protégées. Seuls les administrateurs disposant de privilèges de chiffrement peuvent effectuer des tâches de chiffrement et de déchiffrement.
- vCenter Server demande une clé de chiffrement (KEK) AES-256 à partir du serveur KMS. vCenter Server stocke uniquement l'ID de la clé KEK, mais pas la clé proprement dite.
L'hôte ESXi chiffre les données du disque en utilisant le mode standard AES-256 XTS. Chaque disque possède une clé DEK (Data Encryption Key) différente générée de façon aléatoire.
- Chaque hôte ESXi utilise la clé pour chiffrer ses clés DEK et stocke les clés DEK chiffrées sur disque. L'hôte ne stocke pas la clé KEK sur disque. Si un hôte redémarre, il demande la clé KEK avec l'ID correspondant au serveur KMS. L'hôte déchiffre ensuite ses clés DEK si nécessaire.
- Une clé d'hôte est utilisée pour chiffrer les vidages de mémoire, pas les données. Tous les hôtes d'un même cluster utilisent la même clé d'hôte. Lors de la collecte de bundles de support, une clé aléatoire est générée pour rechiffrer les vidages de mémoire. Vous pouvez spécifier un mot de passe pour chiffrer la clé aléatoire.
Lorsqu'un hôte redémarre, il ne monte pas ses groupes de disques tant qu'il n'a pas reçu la clé KEK. Ce processus peut durer plusieurs minutes, voire davantage. Vous pouvez surveiller l'état des groupes de disques dans vSAN Health Service, sous Disques physiques > Santé de l'état du logiciel.
