艾巴生活网

您现在的位置是:主页>科技 >内容

科技

vsan作用_一文读懂VSAN加密技术

2024-01-02 13:02:01科技帅气的蚂蚁
VMware vSAN 6 6是第一款在虚拟机管理程序中包含超融合加密的软件定义的存储产品。VSAN 6 6在VSAN内核中创建静态数据加密,并在集群范围

vsan作用_一文读懂VSAN加密技术

VMware vSAN 6.6是第一款在虚拟机管理程序中包含超融合加密的软件定义的存储产品。VSAN 6.6在VSAN内核中创建静态数据加密,并在集群范围内启用,同时加密vSAN数据存储中的所有对象。

这项新功能称为vSAN加密。网络安全是大多数企业的重中之重,所以vSAN加密功能很受欢迎。IT管理员不愿意在操作系统级别部署加密,也不愿意让应用程序所有者加密应用程序和数据。静态数据加密通过加密位于vSAN数据存储上的数据来解决上述问题。

VSAN加密与硬件无关,这意味着管理员可以选择他们想要的存储硬件设备,而无需购买昂贵的自加密驱动程序。

VSAN加密与vSphere虚拟机加密

VSAN加密可用于混合环境和全闪存配置环境,需要兼容密钥管理互通协议1.1的KMS与vCenter Server通信。VSAN加密使用基于XOR-encrypt-XOR的微调码本模式和AES-256 XTS密码来加密缓存层和存储层。VSAN加密还兼容vSAN全闪存性能功能,如重复数据删除、加密和擦除代码;这意味着它提供了高效安全的存储。当数据进入缓存层时对其进行加密,当数据离开缓存层时对其进行解密。最后,当数据进入存储层时,重复数据被删除、压缩并再次加密。

vSAN encryption的加密机制类似于vSphere 6.5虚拟机加密,两者都使用KMS提供的相同加密库。事实上,您可以将相同的KMS用于vSAN加密和虚拟机加密。但除此之外没有其他相似之处。虚拟机加密通过用于I/O过滤的vSphere API对虚拟机进行加密,而vSAN加密则对整个数据存储进行加密。

另一个主要区别是,vSAN加密使用两层加密。它使用KEK加密DEK。DEK是一个随机生成的密钥,用于加密每个磁盘上的数据。每个vSAN主机存储加密的DEK,但不在每个磁盘上存储KEK。如果东道主需要KEK,就需要向KMS申请。

VSAN加密工作原理

当vCenter Server向KMS请求AES-256 KEK时,vSAN加密显示为黑粉色。vCenter Server只存储KEK的ID,不存储密钥。ESXi主机使用行业标准的AES-256 XTS模式来加密磁盘数据。每个磁盘都有一个唯一的随机生成的DEK。然后,每台ESXi主机使用KEK加密DEK,并将加密的DEK存储在磁盘上。主机不在磁盘上存储KEK。如果主机重新启动,您需要用相应的ID从KMS请求KEK。主机可以按需解密DEK。

主机使用主机密钥来加密核心转储,而不是数据。同一集群中的所有主机都使用相同的主机密钥。VSAN加密在收集支持包时会生成一个随机密钥来重新加密核心转储。加密随机密钥时使用密码。

当加密的vSAN主机重新启动时,磁盘组在收到KEK之前不会装载,这意味着该过程可能需要几分钟时间。此外,加密过程会消耗CPU资源。AES-NI显著提高了加密性能,因此有必要在系统的基本输入/输出系统中启用AES-NI。

加密过程

要使用vSAN encryption加密数据,应将KMS添加到vCenter Server,并建立可信连接。不要在您尝试加密的数据存储上部署KMS,因为如果出现故障,vSAN集群中的主机必须与KMS通信。

选择要部署KMS的vCenter Server。在“配置”选项卡下,选择密钥管理服务器并添加KMS详细信息。

图1显示了在vCenter、ESXi主机和KMS之间建立可信连接的选项。选择上述选项之一后,可以在vSAN群集中启用加密。

图一。选择一个数字证书来建立与KMS的信任。

打开vSAN加密非常简单。只需选择vSAN集群并进入配置选项卡。在vSAN下,选择常规。单击编辑按钮并选中“打开vSAN”和“加密”复选框。请务必选择正确的KMS集群。

图二。编辑vSAN设置

在这个页面上,您还应该看到“使用前清除磁盘”和“允许减少冗余”选项。“使用前擦除磁盘”选项会在加密过程中擦除存储设备上的现有数据。请注意,这将增加磁盘格式化时间。

如果vSAN集群部署了更多虚拟机,并且您意识到没有足够的可用容量来在加密前迁移数据,则“允许减少冗余”选项会降低虚拟机的保护级别,以便为加密腾出空间。此方法不会将数据迁移到群集中的其他数据;只需移除每个磁盘组,升级磁盘格式,然后重新添加磁盘组。所有对象仍然可用,但冗余减少了。

单击确定后,vSAN将重新格式化磁盘组中的所有磁盘。VSAN一次删除一个磁盘组,传输磁盘组中的数据,以on-disk 5.0格式格式化每个磁盘,重新创建磁盘组,并继续处理下一个磁盘组。这可能非常耗时,尤其是当vSAN需要在重新格式化期间迁移大量数据时。

请注意,如果您选择在任何时候禁用vSAN加密,vSAN将执行类似的重新格式化过程来移除磁盘加密。

如果需要重新生成加密密钥,可以在vSAN配置用户界面下执行。有两种方法可以重新生成密钥。首先是用全新的KEK加密现有的DEK。另一种方法是完全重新加密所有数据使用KEK和DEK。后一种方法需要很长时间,因为所有数据都必须用新密钥重新加密。

要生成全新的加密密钥,请单击配置选项卡。在vSAN下,选择常规,然后单击生成新的加密密钥。这将打开一个窗口,您可以在其中生成新的加密密钥并重新加密vSAN群集中的所有数据。要生成全新的KEK,请单击“确定”。DEK会用新密码重新加密。为了生成全新的KEK和全新的DEK,并重新加密vSAN集群中的所有数据,需要选中复选框“同时使用新密钥重新加密存储上的所有数据”