啟用靜態資料加密時,vSAN 會加密 vSAN 資料存放區中的所有項目。
- vCenter Server 從 KMS 要求 AES-256 金鑰加密金鑰 (KEK)。vCenter Server 僅儲存 KEK 的識別碼,但不儲存金鑰本身。
-
ESXi 主機使用業界標準 AES-256 XTS 模式加密磁碟資料。每個磁碟具有不同的隨機產生的資料加密金鑰 (DEK)。
- 每台 ESXi 主機使用 KEK 加密其 DEK,並在磁碟上儲存加密的 DEK。主機不在磁碟上儲存 KEK。如果主機重新開機,則會從 KMS 要求具有相應識別碼的 KEK。然後,主機才可視需要解密其 DEK。
- 主機金鑰用於加密核心傾印,而非資料。在相同叢集中的所有主機使用相同的主機金鑰。收集支援服務包時,會產生一個隨機金鑰,以重新加密核心傾印。您可以指定密碼以加密隨機金鑰。
主機重新開機時,它不會掛接其磁碟群組,直到它收到 KEK。此程序可能需要數分鐘或更長時間才能完成。您可以在 vSAN 健全狀況服務的實體磁碟 > 軟體狀態健全狀況下,監控磁碟群組的狀態。
加密金鑰持續性
在 vSAN 7.0 Update 3 及更新版本中,即使金鑰伺服器暫時離線或無法取得,靜態資料加密也可以繼續運作。啟用金鑰持續性後,即使在重新開機後,ESXi 主機也會保存加密金鑰。
每個 ESXi 主機最初都會取得加密金鑰,並將其保留在其金鑰快取中。如果 ESXi 主機具有信任平台模組 (TPM),則加密金鑰將在重新開機過程會持續保存於 TPM 中。主機不需要要求加密金鑰。當金鑰伺服器無法使用時,加密作業也可繼續進行,因為這些金鑰一直保存在 TPM 中。
使用以下命令在叢集主機上啟用金鑰持續性。
esxcli system settings encryption set --mode=TPM
esxcli system security keypersistence enable
如需加密金鑰持續性的詳細資訊,請參閱《vSphere 安全性》中的〈金鑰持續性概觀〉。
使用 vSphere Native Key Provider
vSAN 7.0 Update 2 支援 vSphere Native Key Provider。如果您的環境已針對 vSphere Native Key Provider 設定,則可以將其用來加密您 vSAN 叢集中的虛擬機器。如需詳細資訊,請參閱《vSphere 安全性》中的〈設定和管理 vSphere Native Key Provider〉。
vSphere Native Key Provider 不需要外部金鑰管理伺服器 (KMS)。vCenter Server 會產生金鑰加密金鑰,並將其推送至 ESXi 主機。然後 ESXi 主機會產生資料加密金鑰。
vSphere Native Key Provider 可以與現有的金鑰伺服器基礎結構共存。
