啟用靜態資料加密時,vSAN 會加密 vSAN 資料存放區中的所有項目。加密所有檔案後,會保護所有虛擬機器及其相應的資料。僅具有加密權限的管理員可以執行加密和解密工作。

vSAN使用的加密金鑰如下所示:
  • vCenter Server 從 KMS 要求 AES-256 金鑰加密金鑰 (KEK)。vCenter Server 僅儲存 KEK 的識別碼,但不儲存金鑰本身。

  • ESXi 主機使用業界標準 AES-256 XTS 模式加密磁碟資料。每個磁碟具有不同的隨機產生的資料加密金鑰 (DEK)。

  • 每台 ESXi 主機使用 KEK 加密其 DEK,並在磁碟上儲存加密的 DEK。主機不在磁碟上儲存 KEK。如果主機重新開機,則會從 KMS 要求具有相應識別碼的 KEK。然後,主機才可視需要解密其 DEK。
  • 主機金鑰用於加密核心傾印,而非資料。在相同叢集中的所有主機使用相同的主機金鑰。收集支援服務包時,會產生一個隨機金鑰,以重新加密核心傾印。您可以指定密碼以加密隨機金鑰。

主機重新開機時,它不會掛接其磁碟群組,直到它收到 KEK。此程序可能需要數分鐘或更長時間才能完成。您可以在 vSAN 健全狀況服務的實體磁碟 > 軟體狀態健全狀況下,監控磁碟群組的狀態。

加密金鑰持續性

在 vSAN 7.0 Update 3 及更新版本中,即使金鑰伺服器暫時離線或無法取得,靜態資料加密也可以繼續運作。啟用金鑰持續性後,即使在重新開機後,ESXi 主機也會保存加密金鑰。

每個 ESXi 主機最初都會取得加密金鑰,並將其保留在其金鑰快取中。如果 ESXi 主機具有信任平台模組 (TPM),則加密金鑰將在重新開機過程會持續保存於 TPM 中。主機不需要要求加密金鑰。當金鑰伺服器無法使用時,加密作業也可繼續進行,因為這些金鑰一直保存在 TPM 中。

使用以下命令在叢集主機上啟用金鑰持續性。 

esxcli system settings encryption set --mode=TPM
esxcli system security keypersistence enable

如需加密金鑰持續性的詳細資訊,請參閱《vSphere 安全性》中的〈金鑰持續性概觀〉。

使用 vSphere Native Key Provider

vSAN 7.0 Update 2 支援 vSphere Native Key Provider。如果您的環境已針對 vSphere Native Key Provider 設定,則可以將其用來加密您 vSAN 叢集中的虛擬機器。如需詳細資訊,請參閱《vSphere 安全性》中的〈設定和管理 vSphere Native Key Provider〉。

vSphere Native Key Provider 不需要外部金鑰管理伺服器 (KMS)。vCenter Server 會產生金鑰加密金鑰,並將其推送至 ESXi 主機。然後 ESXi 主機會產生資料加密金鑰。

備註: 如果您使用 vSphere Native Key Provider,請務必備份 Native Key Provider,以確保重新設定工作順暢執行。

vSphere Native Key Provider 可以與現有的金鑰伺服器基礎結構共存。