VMware vSAN 6.6是***款在hypervisor內(nèi)包含超融合加密的軟件定義的存儲(chǔ)產(chǎn)品。vSAN 6.6在vSAN內(nèi)核中創(chuàng)建了靜態(tài)數(shù)據(jù)加密，并在集群范圍內(nèi)啟用，在vSAN數(shù)據(jù)存儲(chǔ)中對(duì)所有對(duì)象進(jìn)行了加密。這一全新的特性被稱(chēng)為vSAN加密。

對(duì)大多數(shù)企業(yè)來(lái)說(shuō)網(wǎng)絡(luò)安全是頭等大事，因此vSAN加密功能很受歡迎。IT管理員一直不樂(lè)意在操作系統(tǒng)層部署加密或者允許應(yīng)用所有者對(duì)應(yīng)用、數(shù)據(jù)進(jìn)行加密。靜態(tài)數(shù)據(jù)加密通過(guò)對(duì)位于vSAN數(shù)據(jù)存儲(chǔ)上的數(shù)據(jù)進(jìn)行加密解決了上述問(wèn)題。

[[195916]]

vSAN加密與硬件無(wú)關(guān)，這意味著管理員能夠選擇他們想要的存儲(chǔ)硬件設(shè)備，不需要購(gòu)買(mǎi)昂貴的自加密驅(qū)動(dòng)。

VSAN加密 VS. vSphere 虛擬機(jī)加密

vSAN加密可以在混合環(huán)境以及全閃存配置環(huán)境下使用，需要一個(gè)與密鑰管理互通協(xié)議1.1兼容的KMS才能與vCenter Server進(jìn)行通信。vSAN加密使用xor-encrypt-xor-based tweaked-codebook模式采用AES-256 XTS密碼對(duì)緩存層以及存儲(chǔ)層進(jìn)行加密。vSAN加密同樣與vSAN全閃存效能功能兼容，比如重復(fù)數(shù)據(jù)刪除、加密以及糾刪碼;這意味著其交付了高效、安全的存儲(chǔ)。在數(shù)據(jù)進(jìn)入緩存層時(shí)對(duì)其進(jìn)行加密，離開(kāi)緩存層時(shí)對(duì)其進(jìn)行解密。***，數(shù)據(jù)進(jìn)入存儲(chǔ)層時(shí)刪除重復(fù)數(shù)據(jù)并壓縮，并再次對(duì)其進(jìn)行加密。

vSAN加密的加密機(jī)制與vSphere 6.5虛擬機(jī)加密類(lèi)似，都使用同樣的由KMS提供的加密庫(kù)。實(shí)際上，你可以針對(duì)vSAN加密及虛擬機(jī)加密使用同樣的KMS。但除此之外沒(méi)有其他相似之處。虛擬機(jī)加密通過(guò)用于I/O過(guò)濾的vSphere API對(duì)虛擬機(jī)進(jìn)行加密，而vSAN加密對(duì)整個(gè)數(shù)據(jù)存儲(chǔ)進(jìn)行加密。

另一個(gè)主要的不同之處是vSAN加密采用的是二層加密。它使用KEK加密DEK。DEK是一個(gè)隨機(jī)生成的key，在每個(gè)磁盤(pán)上對(duì)數(shù)據(jù)進(jìn)行加密。每個(gè)vSAN主機(jī)存儲(chǔ)加密的DEK但不在每個(gè)磁盤(pán)上存儲(chǔ)KEK。如果主機(jī)需要KEK，需要向KMS申請(qǐng)。

vSAN加密工作原理

當(dāng)vCenter Server從KMS請(qǐng)求AES-256 KEK時(shí)，vSAN加密便粉墨登場(chǎng)了。vCenter Server僅存儲(chǔ)KEK的ID，并不存儲(chǔ)key。ESXi主機(jī)使用行業(yè)標(biāo)準(zhǔn)的AES-256 XTS模式對(duì)磁盤(pán)數(shù)據(jù)進(jìn)行加密。每個(gè)磁盤(pán)有一個(gè)唯一的隨機(jī)生成的DEK。每臺(tái)ESXi主機(jī)然后使用KEK加密DEK并在磁盤(pán)上存儲(chǔ)加密的DEK。主機(jī)并不在磁盤(pán)上存儲(chǔ)KEK。如果主機(jī)重啟，那么要使用相應(yīng)的ID從KMS請(qǐng)求KEK。主機(jī)能夠按需解密DEK。

主機(jī)使用主機(jī)key加密核心轉(zhuǎn)儲(chǔ)而不是數(shù)據(jù)。在同一個(gè)集群中的所有主機(jī)使用相同的主機(jī)key。VSAN加密生成一個(gè)隨機(jī)key在收集支持捆綁時(shí)重新加密核心轉(zhuǎn)儲(chǔ)。加密隨機(jī)key時(shí)要使用一個(gè)密碼。

當(dāng)加密的vSAN主機(jī)重啟時(shí)，不會(huì)掛載磁盤(pán)組直到其收到KEK，這意味著該過(guò)程可能需要花費(fèi)幾分鐘。而且加密過(guò)程很消耗CPU資源。AES-NI顯著改善了加密性能，因此要在系統(tǒng)的基礎(chǔ)輸入/輸出系統(tǒng)中啟用AES-NI。

加密過(guò)程

使用vSAN加密對(duì)數(shù)據(jù)加密，首先要在vCenter Server中增加KMS并與之建立一個(gè)受信的連接。不要在試圖加密的數(shù)據(jù)存儲(chǔ)上部署KMS，因?yàn)槿绻霈F(xiàn)故障，vSAN集群內(nèi)的主機(jī)必須與KMS通信。

選擇你希望部署KMS的vCenter Server，在配置標(biāo)簽下，選擇鍵值管理服務(wù)器并添加KMS詳細(xì)信息。

圖1顯示了在vCenter、ESXi主機(jī)以及KMS之間建立受信連接的選項(xiàng)。一旦選擇了上述選項(xiàng)之一，就可以在vSAN集群中啟用加密了。

圖1.選擇數(shù)字證書(shū)與KMS建立信任

開(kāi)啟vSAN加密非常簡(jiǎn)單。只需要選擇vSAN集群并進(jìn)入配置標(biāo)簽。在vSAN下，選擇通用。點(diǎn)擊編輯按鈕并勾選“打開(kāi)vSAN”、“加密”復(fù)選框。一定要選擇合適的KMS集群。

圖2.編輯vSAN設(shè)置

這個(gè)頁(yè)面，你應(yīng)該還會(huì)看到“在使用前清除磁盤(pán)”以及“允許減少冗余”選項(xiàng)。“在使用前清除磁盤(pán)”選項(xiàng)在加密時(shí)清除存儲(chǔ)設(shè)備上的現(xiàn)有數(shù)據(jù)。一定要意識(shí)到這會(huì)增加磁盤(pán)格式化時(shí)間。

如果vSAN集群已經(jīng)部署了較多的虛擬機(jī)，而且你意識(shí)到?jīng)]有足夠可用的容量在加密前用于遷移數(shù)據(jù)，“允許減少冗余”選項(xiàng)減少了虛擬機(jī)的保護(hù)級(jí)別為執(zhí)行加密空出了存儲(chǔ)空間。該方法不會(huì)將數(shù)據(jù)遷移到集群中的其他數(shù)據(jù);僅僅移除每個(gè)磁盤(pán)組，升級(jí)磁盤(pán)格式然后再將磁盤(pán)組添加回來(lái)。所有對(duì)象仍舊可用但減少了冗余。

一旦點(diǎn)擊了確定，vSAN將會(huì)重新格式化磁盤(pán)組中的所有磁盤(pán)。vSAN每次移除一個(gè)磁盤(pán)組，轉(zhuǎn)移磁盤(pán)組中的數(shù)據(jù)，將每塊磁盤(pán)格式化為on-disk 5.0格式,重新創(chuàng)建磁盤(pán)組并繼續(xù)對(duì)下一個(gè)磁盤(pán)組進(jìn)行處理。這可能相當(dāng)花時(shí)間，尤其是如果vSAN需要在重新格式化期間遷移大量的數(shù)據(jù)，時(shí)間就更長(zhǎng)了。

注意如果在任何時(shí)點(diǎn)，選擇禁用vSAN加密，vSAN將會(huì)執(zhí)行類(lèi)似的重新格式化過(guò)程移除磁盤(pán)加密。

如果需要重新生成加密key，可以在vSAN配置用戶(hù)界面下完成。重新生成key有兩種方式。***種是使用全新的KEK加密現(xiàn)有的DEK。另一種方式是使用KEK和DEK完全重新加密所有數(shù)據(jù)。后一種方法需要很長(zhǎng)時(shí)間，因?yàn)樗袛?shù)據(jù)必須使用新key重新加密。

為生成全新的加密key，單擊配置標(biāo)簽。在vSAN下，選擇通用然后單擊生成全新的加密key。這會(huì)打開(kāi)一個(gè)窗口，你可以生成全新的加密key，同時(shí)重新加密vSAN集群中的所有數(shù)據(jù)。為生成一個(gè)全新的KEK，單擊確定。DEK將會(huì)使用全新的DEY重新加密。為生成全新的KEK和全新的DEK，并對(duì)vSAN集群內(nèi)的所有數(shù)據(jù)重新加密，需要選擇復(fù)選框“同時(shí)使用新key對(duì)存儲(chǔ)上的所有數(shù)據(jù)重新加密。”