目录

 

1. 简介

 

2. 体系结构

3. 启用vSAN

 

4. 可用性

 

5. 运维效率

 

6. 报告容量状况

7. 空间效率

 

8. 安全性

 

9. 总结

 

8.1.原生加密

 

          静态数据加密是vSAN数据存储的一个选项，可进一步提高安全性，并提供与日益严格的法规要求相符的合规性。vSAN数据存储加密使用AES 256密码。vSAN加密可消除因购买和维护自加密驱动器而带来的额外成本、

限制和复杂性。

vSAN数据存储加密在数据存储级别上启用和配置。换句话说，启用此功能特性后，vSAN数据存储上的每个对象都将加密。数据在写入vSAN数据存储的缓存层和容量层中的持久介质时加密。

加密在vSphere存储栈的设备驱动程序层之上进行，这意味着它与所有vSAN功能特性兼容，如重复数据消除和压缩、RAID-5/6纠删码、延伸集群配置等。支持所有vSphere功能特性，包括vSphere vMotion、vSphereDistributed Resource Scheduler (DRS)、vSphere High Availability (HA)和vSphere Replication。

需要使用密钥管理服务器(KMS)来启用和使用vSAN加密。多家KMS供应商符合要求，包括HyTrust、Gemalto(SafeNet)、Thales e-Security、Cloud Link和Vormetric。这些解决方案通常部署在硬件设备或虚拟系统套装

的集群中，以提供冗余和高可用性。

初始配置在vSphere Web Client的vCenter Server用户界面中进行。KMS集群将添加到vCenter Server，并建立一项信任关系。此流程因KMS供应商而异，但通常都很简单。

 

图13.配置用于vCenter Server的KMS

 

只需单击一个复选框即可轻松启用加密。无论数据存储上是否有虚拟机，都可以在启用vSAN之时或之后启用加密。

注意：启用加密时需要执行滚动重新格式化。这可能会花费很长时间，尤其是在执行滚动重新格式化的同时必须迁移大量现有数据的情况下。

 

图14.启用vSAN加密

使用密钥管理互操作协议(KMIP)将加密密钥传输到vSAN主机。行业标准和法规合规性通常要求定期生成新密钥。这降低了密钥泄露或遭遇暴力***带来的风险。在vSAN用户界面中，只需几次单击即可执行新密钥生成。可为集群禁用加密。与启用加密类似，需要执行滚动磁盘格式更改。禁用加密可能会花费很长时间。

企业采购需求方案咨询Q（深圳）：80815877 VMware vSAN 超融合（官方兼容列表）、Horizon view 虚拟桌面整套解决方案；