啟用加密時,vSAN 會加密 vSAN 資料存放區中的所有項目。加密所有檔案後,會保護所有虛擬機器及其相應的資料。僅具有加密權限的管理員可以執行加密和解密工作。

vSAN使用的加密金鑰如下所示:

  • vCenter Server 從 KMS 要求 AES-256 Key Encryption Key (KEK)。vCenter Server 僅儲存 KEK 的識別碼,但不儲存金鑰本身。

  • ESXi 主機使用業界標準 AES-256 XTS 模式加密磁碟資料。每個磁碟具有不同的隨機產生的資料加密金鑰 (DEK)。

  • 每台 ESXi 主機使用 KEK 加密其 DEK,並在磁碟上儲存加密的 DEK。主機不在磁碟上儲存 KEK。如果主機重新開機,則會從 KMS 要求具有相應識別碼的 KEK。然後,主機才可視需要解密其 DEK。

  • 主機金鑰用於加密核心傾印,而非資料。在相同叢集中的所有主機使用相同的主機金鑰。收集支援服務包時,會產生一個隨機金鑰,以重新加密核心傾印。加密隨機金鑰時使用密碼。

主機重新開機時,它不會掛接其磁碟群組,直到它收到 KEK。此程序可能需要數分鐘或更長時間才能完成。您可以在 vSAN 健全狀況服務的實體磁碟 > 軟體狀態健全狀況下,監控磁碟群組的狀態。