使用 vSAN 加密時,請考量下列準則。
- 請勿在您計劃加密的相同 vSAN 資料存放區上部署 KMS 伺服器。
- 加密需要大量 CPU。AES-NI 顯著提升了加密效能。在 BIOS 中啟用 AES-NI。
- 延伸叢集中的見證主機不會參與 vSAN 加密。只有中繼資料會儲存在見證主機上。
- 建立與核心傾印有關的原則。加密核心傾印是因為它們可能包含敏感資訊,例如金鑰。如果您解密核心傾印,請謹慎處理其敏感資訊。ESXi 核心傾印可能包含 ESXi 主機及其上資料的金鑰。
- 在您收集 vm-support 服務包時,一律使用密碼。您可以在透過 vSphere Client 或使用 vm-support 命令產生支援服務包時指定密碼。
該密碼會對使用內部金鑰的核心傾印進行雙重加密,以使用基於密碼的金鑰。您稍後可以使用該密碼來解密可能包含在支援服務包中的任何已加密核心傾印。未加密的核心傾印或記錄則不受影響。
- vSphere 元件中不會保存您在 vm-support 服務包建立期間指定的密碼。您將負責追蹤支援服務包的密碼。
- 在您收集 vm-support 服務包時,一律使用密碼。您可以在透過 vSphere Client 或使用 vm-support 命令產生支援服務包時指定密碼。
