使用靜態資料加密時,請考量下列準則。
- 請勿在您計劃加密的相同 vSAN 資料存放區上部署 KMS 伺服器。
- 加密需要大量 CPU。AES-NI 顯著提升了加密效能。在 BIOS 中啟用 AES-NI。
- vSAN 延伸叢集中的見證主機不會參與 vSAN 加密。見證主機不會儲存客戶資料,僅會儲存中繼資料,例如 vSAN 物件和元件的大小和 UUID。
備註: 如果見證主機是在另一個叢集上執行的應用裝置,則可以加密儲存在其中的中繼資料。在包含見證主機的叢集上啟用靜態資料加密。
- 建立與核心傾印有關的原則。加密核心傾印是因為它們可能包含敏感資訊。如果您解密核心傾印,請謹慎處理其敏感資訊。ESXi 核心傾印可能包含 ESXi 主機及其上資料的金鑰。
- 在您收集 vm-support 服務包時,一律使用密碼。您可以在透過 vSphere Client 或使用 vm-support 命令產生支援服務包時指定密碼。
該密碼會對使用內部金鑰的核心傾印進行雙重加密,以使用基於密碼的金鑰。您稍後可以使用該密碼來解密可能包含在支援服務包中的任何已加密核心傾印。未加密的核心傾印或記錄則不受影響。
- vSphere 元件中不會持續保留您在 vm-support 服務包建立期間指定的密碼。您將負責追蹤支援服務包的密碼。
- 在您收集 vm-support 服務包時,一律使用密碼。您可以在透過 vSphere Client 或使用 vm-support 命令產生支援服務包時指定密碼。