Quando si utilizza la crittografia dei dati inattivi, tenere presenti queste linee guida.
- Non distribuire il server KMS nello stesso datastore vSAN che si intende crittografare.
- La crittografia fa un uso intensivo della CPU. AES-NI migliora significativamente le prestazioni della crittografia. Abilitare AES-NI nel BIOS.
- L'host witness in un cluster esteso vSAN non partecipa alla crittografia di vSAN. L'host witness non archivia i dati del cliente, ma solo i metadati, come le dimensioni e l'UUID dell'oggetto vSAN e dei componenti.
Nota: Se l'host witness è un'appliance in esecuzione in un altro cluster, è possibile crittografare i metadati archiviati in tale host. Abilitare la crittografia dei dati inattivi nel cluster che contiene l'host witness.
- Stabilire un criterio relativo ai core dump. I core dump sono crittografati perché possono contenere informazioni sensibili. Se si decrittografa un core dump, gestire con attenzione le informazioni sensibili che include. I core dump di ESXi potrebbero contenere chiavi per l'host ESXi e per i dati che include.
- Utilizzare sempre una password quando si raccoglie un bundle vm-support. È possibile specificare la password quando si genera il bundle di supporto da vSphere Client oppure utilizzando il comando vm-support.
La password crittografa nuovamente i core dump che utilizzano chiavi interne in modo che utilizzino chiavi basate sulla password. In un secondo momento, è possibile utilizzare la password per decrittografare tutti i core dump crittografati che potrebbero essere inclusi nel bundle di supporto. I core dump o i registri non crittografati non sono coinvolti.
- La password specificata durante la creazione del bundle vm-support non viene conservata nei componenti di vSphere. È quindi necessario tenere traccia delle password per i bundle di supporto.
- Utilizzare sempre una password quando si raccoglie un bundle vm-support. È possibile specificare la password quando si genera il bundle di supporto da vSphere Client oppure utilizzando il comando vm-support.