암호화를 사용하도록 설정하는 경우 vSAN은 vSAN 데이터스토어의 모든 항목을 암호화합니다. 모든 파일이 암호화되기 때문에 모든 가상 시스템과 해당 데이터가 보호됩니다. 암호화 및 암호 해독 작업은 암호화 권한을 가진 관리자만 수행할 수 있습니다.
vSAN은 암호화 키를 다음과 같이 사용합니다.
vCenter Server가 AES-256 KEK(키 암호화 키)를 KMS에 요청합니다. vCenter Server는 키 자체가 아니라 KEK의 ID만 저장합니다.
ESXi 호스트는 업계 표준 AES-256 XTS 모드를 사용하여 디스크 데이터를 암호화합니다. 각 디스크에는 임의로 생성된 서로 다른 DEK(데이터 암호화 키)가 있습니다.
각 ESXi 호스트는 KEK를 사용하여 해당 DEK를 암호화하고, 암호화된 DEK를 디스크에 저장합니다. 호스트는 KEK를 디스크에 저장하지 않습니다. 재부팅 시 호스트는 해당하는 ID를 사용하여 KMS에 KEK를 요청합니다. 이렇게 하면 호스트가 필요에 따라 DEK를 암호 해독할 수 있습니다.
호스트 키는 데이터가 아니라 코어 덤프를 암호화하는 데 사용됩니다. 동일한 클러스터의 모든 호스트는 동일한 호스트 키를 사용합니다. 지원 번들을 수집할 때 임의 키가 생성되어 코어 덤프를 다시 암호화합니다. 임의 키를 암호화하는 경우 암호를 사용하십시오.
재부팅 시 호스트는 KEK를 받기 전에는 해당 디스크 그룹을 마운트하지 않습니다. 이 프로세스가 완료되는 데 몇 분 또는 그 이상이 소요될 수 있습니다. vSAN Health Service의 물리적 디스크 > 소프트웨어 상태에서 디스크 그룹의 상태를 모니터링할 수 있습니다.
