키가 만료되거나 손상된 경우에 미사용 데이터에 대해 새 암호화 키를 생성할 수 있습니다.

vSAN 클러스터의 새 암호화 키를 생성할 때 다음과 같은 옵션을 사용할 수 있습니다.
  • 새 KEK를 생성하면 vSAN 클러스터의 모든 호스트가 KMS로부터 새 KEK를 받습니다. 각 호스트의 DEK는 새 KEK를 사용하여 다시 암호화됩니다.
  • 심층 키 재생성을 수행하고 새 키를 사용하여 모든 데이터를 다시 암호화하도록 선택하면 새 KEK와 새 DEK가 생성됩니다. 데이터를 다시 암호화하려면 롤링 디스크 재 포맷이 필요합니다.

사전 요구 사항

  • 필요한 권한:
    • Host.Inventory.EditCluster
    • Cryptographer.ManageKeys
  • 표준 키 제공자를 설정하고 vCenter Server와 KMS 사이에 신뢰할 수 있는 연결이 설정되어 있어야 합니다.

프로시저

  1. vSAN 호스트 클러스터로 이동합니다.
  2. 구성 탭을 클릭합니다.
  3. vSAN에서 서비스를 선택합니다.
  4. 새 암호화 키 생성을 클릭합니다.
  5. 새 KEK를 생성하려면 적용을 클릭합니다. 새 KEK를 사용하여 DEK가 다시 암호화됩니다.
    • 새 KEK와 새 DEK를 생성하고 vSAN 클러스터의 모든 데이터를 다시 암호화하려면 새 키를 사용하여 스토리지의 모든 데이터도 다시 암호화 확인란을 선택합니다.
    • vSAN 클러스터에 제한된 리소스가 있으면 감소된 이중화 허용 확인란을 선택합니다. 감소된 이중화를 허용하면 디스크를 다시 포맷하는 작업 중에 데이터가 위험할 수 있습니다.