미사용 데이터 암호화를 사용하는 경우에 다음과 같은 지침을 고려하십시오.
- 암호화하려는 동일한 vSAN 데이터스토어에 KMS 서버를 배포하지 마십시오.
- 암호화에는 많은 CPU가 사용됩니다. AES-NI는 암호화 성능을 크게 개선합니다. BIOS에서 AES-NI를 사용하도록 설정하십시오.
- vSAN 확장된 클러스터의 감시 호스트는 vSAN 암호화에 참여하지 않습니다. 감시 호스트는 고객 데이터, vSAN 개체의 크기 및 UUID, 구성 요소와 같은 메타데이터만 저장하지 않습니다.
참고: 감시 호스트가 다른 클러스터에서 실행 중인 장치라면 해당 호스트에 저장된 메타데이터를 암호화할 수 있습니다. 감시 호스트가 포함된 클러스터에서 미사용 데이터 암호화를 사용하도록 설정합니다.
- 코어 덤프에 대한 정책을 설정합니다. 코어 덤프는 중요한 정보를 포함할 수 있기 때문에 암호화됩니다. 코어 덤프를 암호 해독할 때는 해당 중요 정보를 주의해서 처리해야 합니다. ESXi 코어 덤프에는 ESXi 호스트 및 호스트에 있는 데이터의 키가 포함될 수 있습니다.
- vm-support 번들을 수집할 때 항상 암호를 사용합니다. vSphere Client에서 지원 번들을 생성할 때 암호를 지정하거나 vm-support 명령을 사용하여 암호를 지정할 수 있습니다.
암호는 암호에 기반한 키를 사용하기 위해 내부 키를 사용하는 코어 덤프를 이중 암호화합니다. 나중에 지원 번들에 포함되었을 수도 있는 암호화된 코어 덤프의 암호를 해독하는 데 이 암호를 사용할 수 있습니다. 암호화되지 않은 코어 덤프 또는 로그는 영향을 받지 않습니다.
- vm-support 번들을 생성하는 동안 지정하는 암호는 vSphere 구성 요소에 유지되지 않습니다. 지원 번들용 암호를 추적하는 것은 사용자의 책임입니다.
- vm-support 번들을 수집할 때 항상 암호를 사용합니다. vSphere Client에서 지원 번들을 생성할 때 암호를 지정하거나 vm-support 명령을 사용하여 암호를 지정할 수 있습니다.