VMware vSAN 6.6是***款在hypervisor內包含超融合加密的軟件定義的存儲產品。vSAN 6.6在vSAN內核中創(chuàng)建了靜態(tài)數(shù)據加密，并在集群范圍內啟用，在vSAN數(shù)據存儲中對所有對象進行了加密。這一全新的特性被稱為vSAN加密。

對大多數(shù)企業(yè)來說網絡安全是頭等大事，因此vSAN加密功能很受歡迎。IT管理員一直不樂意在操作系統(tǒng)層部署加密或者允許應用所有者對應用、數(shù)據進行加密。靜態(tài)數(shù)據加密通過對位于vSAN數(shù)據存儲上的數(shù)據進行加密解決了上述問題。

[[195916]]

vSAN加密與硬件無關，這意味著管理員能夠選擇他們想要的存儲硬件設備，不需要購買昂貴的自加密驅動。

VSAN加密 VS. vSphere 虛擬機加密

vSAN加密可以在混合環(huán)境以及全閃存配置環(huán)境下使用，需要一個與密鑰管理互通協(xié)議1.1兼容的KMS才能與vCenter Server進行通信。vSAN加密使用xor-encrypt-xor-based tweaked-codebook模式采用AES-256 XTS密碼對緩存層以及存儲層進行加密。vSAN加密同樣與vSAN全閃存效能功能兼容，比如重復數(shù)據刪除、加密以及糾刪碼;這意味著其交付了高效、安全的存儲。在數(shù)據進入緩存層時對其進行加密，離開緩存層時對其進行解密。***，數(shù)據進入存儲層時刪除重復數(shù)據并壓縮，并再次對其進行加密。

vSAN加密的加密機制與vSphere 6.5虛擬機加密類似，都使用同樣的由KMS提供的加密庫。實際上，你可以針對vSAN加密及虛擬機加密使用同樣的KMS。但除此之外沒有其他相似之處。虛擬機加密通過用于I/O過濾的vSphere API對虛擬機進行加密，而vSAN加密對整個數(shù)據存儲進行加密。

另一個主要的不同之處是vSAN加密采用的是二層加密。它使用KEK加密DEK。DEK是一個隨機生成的key，在每個磁盤上對數(shù)據進行加密。每個vSAN主機存儲加密的DEK但不在每個磁盤上存儲KEK。如果主機需要KEK，需要向KMS申請。

vSAN加密工作原理

當vCenter Server從KMS請求AES-256 KEK時，vSAN加密便粉墨登場了。vCenter Server僅存儲KEK的ID，并不存儲key。ESXi主機使用行業(yè)標準的AES-256 XTS模式對磁盤數(shù)據進行加密。每個磁盤有一個唯一的隨機生成的DEK。每臺ESXi主機然后使用KEK加密DEK并在磁盤上存儲加密的DEK。主機并不在磁盤上存儲KEK。如果主機重啟，那么要使用相應的ID從KMS請求KEK。主機能夠按需解密DEK。

主機使用主機key加密核心轉儲而不是數(shù)據。在同一個集群中的所有主機使用相同的主機key。VSAN加密生成一個隨機key在收集支持捆綁時重新加密核心轉儲。加密隨機key時要使用一個密碼。

當加密的vSAN主機重啟時，不會掛載磁盤組直到其收到KEK，這意味著該過程可能需要花費幾分鐘。而且加密過程很消耗CPU資源。AES-NI顯著改善了加密性能，因此要在系統(tǒng)的基礎輸入/輸出系統(tǒng)中啟用AES-NI。

加密過程

使用vSAN加密對數(shù)據加密，首先要在vCenter Server中增加KMS并與之建立一個受信的連接。不要在試圖加密的數(shù)據存儲上部署KMS，因為如果出現(xiàn)故障，vSAN集群內的主機必須與KMS通信。

選擇你希望部署KMS的vCenter Server，在配置標簽下，選擇鍵值管理服務器并添加KMS詳細信息。

圖1顯示了在vCenter、ESXi主機以及KMS之間建立受信連接的選項。一旦選擇了上述選項之一，就可以在vSAN集群中啟用加密了。

圖1.選擇數(shù)字證書與KMS建立信任

開啟vSAN加密非常簡單。只需要選擇vSAN集群并進入配置標簽。在vSAN下，選擇通用。點擊編輯按鈕并勾選“打開vSAN”、“加密”復選框。一定要選擇合適的KMS集群。

圖2.編輯vSAN設置

這個頁面，你應該還會看到“在使用前清除磁盤”以及“允許減少冗余”選項。“在使用前清除磁盤”選項在加密時清除存儲設備上的現(xiàn)有數(shù)據。一定要意識到這會增加磁盤格式化時間。

如果vSAN集群已經部署了較多的虛擬機，而且你意識到沒有足夠可用的容量在加密前用于遷移數(shù)據，“允許減少冗余”選項減少了虛擬機的保護級別為執(zhí)行加密空出了存儲空間。該方法不會將數(shù)據遷移到集群中的其他數(shù)據;僅僅移除每個磁盤組，升級磁盤格式然后再將磁盤組添加回來。所有對象仍舊可用但減少了冗余。

一旦點擊了確定，vSAN將會重新格式化磁盤組中的所有磁盤。vSAN每次移除一個磁盤組，轉移磁盤組中的數(shù)據，將每塊磁盤格式化為on-disk 5.0格式,重新創(chuàng)建磁盤組并繼續(xù)對下一個磁盤組進行處理。這可能相當花時間，尤其是如果vSAN需要在重新格式化期間遷移大量的數(shù)據，時間就更長了。

注意如果在任何時點，選擇禁用vSAN加密，vSAN將會執(zhí)行類似的重新格式化過程移除磁盤加密。

如果需要重新生成加密key，可以在vSAN配置用戶界面下完成。重新生成key有兩種方式。***種是使用全新的KEK加密現(xiàn)有的DEK。另一種方式是使用KEK和DEK完全重新加密所有數(shù)據。后一種方法需要很長時間，因為所有數(shù)據必須使用新key重新加密。

為生成全新的加密key，單擊配置標簽。在vSAN下，選擇通用然后單擊生成全新的加密key。這會打開一個窗口，你可以生成全新的加密key，同時重新加密vSAN集群中的所有數(shù)據。為生成一個全新的KEK，單擊確定。DEK將會使用全新的DEY重新加密。為生成全新的KEK和全新的DEK，并對vSAN集群內的所有數(shù)據重新加密，需要選擇復選框“同時使用新key對存儲上的所有數(shù)據重新加密。”