vSAN 暗号化を使用する場合、次のガイドラインを考慮してください。
暗号化する vSAN データストアと同じデータストアに、KMS サーバをデプロイしないでください。
暗号化は、CPU への負荷が高い処理です。AES-NI を使用すると、暗号化のパフォーマンスが大幅に向上します。BIOS で AES-NI を有効にします。
ストレッチ クラスタ内の監視ホストは、vSAN 暗号化には関与しません。監視ホストにはメタデータのみが保存されます。
コア ダンプに関するポリシーを確立します。コア ダンプは、キーなどの機密情報を含む場合があるため、暗号化されています。コア ダンプを復号する場合は、このような機密情報を注意して扱ってください。ESXi のコア ダンプには、ESXi ホストのキーと、そこに保存されているデータのキーが含まれる場合があります。
vm-support バンドルを収集するときは、必ずパスワードを使用します。vSphere Web Client から、または vm-support コマンドを使用してサポート バンドルを生成するときに、パスワードを指定できます。
パスワードを指定すると、内部キーを使用しているコア ダンプは、パスワードに基づくキーを使用するように再暗号化されます。暗号化されたコア ダンプがサポート バンドルに含まれている場合は、後でこのパスワードを使用して復号できます。暗号化されていないコア ダンプやログは、影響を受けません。
vm-support バンドルの作成時に指定するパスワードは、vSphere コンポーネント内で維持されません。サポート バンドルのパスワードは、記録しておく必要があります。