在金鑰到期或洩漏時,您可以產生新的加密金鑰。

執行這項作業的原因和時機

當您為 vSAN 叢集產生新的加密金鑰時,以下選項可用。

  • 如果產生新的 KEK,vSAN 叢集中的所有主機會從 KMS 收到新的 KEK。會使用新的 KEK 重新加密每台主機的 DEK。

  • 如果您選擇使用新金鑰重新加密所有資料,則會產生新的 KEK 和新的 DEK。重新加密資料需要漸進式磁碟重新格式化。

先決條件

  • 必要權限:

    • Host > Inventory > EditCluster

    • Cryptographer > ManageKeys

  • 您必須已設定 KMS 叢集,且已在 vCenter Server 和 KMS 之間建立受信任的連線。

程序

  1. vSphere Web Client 中,導覽至 vSAN 主機叢集。
  2. 按一下設定索引標籤。
  3. vSAN 下,選取一般
  4. 在 [vSAN 已開啟] 窗格中,按一下產生新的加密金鑰按鈕。
  5. 若要產生新的 KEK,請按一下確定。將使用新的 KEK 重新加密 DEK。
    • 若要產生新的 KEK 和新的 DEK,並重新加密 vSAN 叢集中的所有資料,請選取以下核取方塊:並使用新的金鑰重新加密儲存區上的所有資料

    • 如果您的 vSAN 叢集擁有的資源有限,請選取允許減少的冗餘核取方塊。如果允許減少的冗餘,在磁碟重新格式化作業期間,您的資料可能會存在風險。