暗号化を有効にすると、vSAN では、vSAN データストア内のすべてを暗号化します。すべてのファイルが暗号化されるため、すべての仮想マシンとその対応するデータが保護されます。この暗号化および復号化タスクを実行できるのは、暗号化権限が付与されている管理者だけです。
vSAN では、次のように暗号化キーを使用します。
- vCenter Server から KMS に AES-256 キー暗号化キー (KEK) が要求されます。vCenter Server では KEK の ID のみが保存されます。キー自体は保存されません。
ESXi ホストでは、業界標準の AES-256 XTS モードを使用して、ディスクのデータを暗号化します。各ディスクでは、ランダムに生成された異なるデータ暗号化キー (DEK) が使用されます。
- 各 ESXi ホストでは、KEK を使用して、その DEK を暗号化し、暗号化された DEK をディスクに保存します。ホストでは KEK はディスクに保存されません。ホストは再起動すると、対応する ID を持つ KEK を KMS に要求します。その後、ホストは必要に応じて DEK を復号できます。
- ホスト キーは、データではなく、コア ダンプの暗号化に使用されます。同じクラスタに含まれるすべてのホストで、同じホスト キーが使用されます。サポート バンドルを収集する際に、コア ダンプの再暗号化のためにランダム キーが生成されます。パスワードを指定してランダム キーを暗号化することができます。
ホストが再起動すると、KEK を受け取るまで、ディスク グループをマウントしません。このプロセスが完了するには、数分以上かかることがあります。ディスク グループのステータスは、vSAN Health Service の [物理ディスク] > [ソフトウェア状態の健全性] で監視できます。