在金鑰到期或洩漏時,您可以產生新的靜態資料加密金鑰。

當您為 vSAN 叢集產生新的加密金鑰時,以下選項可用。
  • 如果產生新的 KEK,vSAN 叢集中的所有主機會從 KMS 收到新的 KEK。會使用新的 KEK 重新加密每台主機的 DEK。
  • 如果您選擇執行深層重設金鑰,並使用新的金鑰來重新加密所有資料,則會產生新的 KEK 和新的 DEK。重新加密資料需要漸進式磁碟重新格式化。

必要條件

  • 必要權限:
    • Host.Inventory.EditCluster
    • Cryptographer.ManageKeys
  • 您必須已設定金鑰提供者,且已在 vCenter Server 和 KMS 之間建立受信任的連線。

程序

  1. 導覽到 vSAN 主機叢集。
  2. 按一下設定索引標籤。
  3. 在 vSAN 下,選取服務
  4. 按一下產生新的加密金鑰
  5. 若要產生新的 KEK,請按一下套用。將使用新的 KEK 重新加密 DEK。
    • 若要產生新的 KEK 和新的 DEK,並重新加密 vSAN 叢集中的所有資料,請選取以下核取方塊:並使用新的金鑰重新加密儲存區上的所有資料
    • 如果您的 vSAN 叢集擁有的資源有限,請選取允許減少的冗餘核取方塊。如果允許減少的冗餘,在磁碟重新格式化作業期間,您的資料可能會存在風險。