VMware 產品演示 — vSAN 加密功能 - VMware 繁體中文部落格

vSAN 從 6.6 開始增加了資料加密功能，在資料存儲層對資料進行加密，這一操作對於上層的虛機而言是透明的，只要啟動加密功能，vSAN 上存儲的所有資料都會經過加密，不需要上層的虛機做任何的配置改變。

vSAN 採用對稱加密演算法 XTS-AES-256 來對虛機進行加密，對虛機檔和加密金鑰一起經過特殊加密演算法處理後，使其變成複雜的加密資料。高級加密標準 AES (Advanced Encryption Standard) 是美國聯邦政府採用的一種區塊加密標準。XTS-AES 演算法是 2008 年發佈的，是目前資料存儲領域廣泛使用的一種加密演算法。AES 加密金鑰長度可以是128比特、192比特、256比特中的任意一個，金鑰長度越長越難破解，XTS-AES-256 採用的是256比特長度金鑰。

值得一提的是，vSAN 可以利用 Intel CPU 的 AES-NI (Advanced Encryption Standard – New Instruction) 指令集來加密，通過硬體來加速加密演算法，Intel 的 CPU 從 Westmere 開始就全面支援 ASE-NI 指令集。利用 Intel CPU 硬體來加速加密過程，可以節省加密過程對於 CPU 資源的佔用，從而把更多的 CPU 資源留給正常的工作負載使用。

下面給大家看一段 vSAN 環境中配置和使用加密功能的視頻演示：

演示內容分為以下幾步：

1. 指定 KMS 系統

vSAN 加密採用的是客戶自帶金鑰 (Bring-Your-Own-Key) 的策略，有這方面要求的客戶大部分都已經部署了金鑰管理伺服器，我們只需要在 vSAN 中指定客戶現有的 KMS 伺服器就可以了。vSAN 支援相容 KMIP (Key Management Interoperability Protocol) 1.1 的 KMS 伺服器。

指定好 KMS 伺服器之後，還需要建立 vSAN 和 KMS 伺服器之間的信任關係，就是指定兩者之間的安全通信機制。可以通過 CA 證書等方法來獲得 KMS 服務的信任，在演示中我們是通過直接上傳證書和私有金鑰來建立 vSAN 和 KMS 之間的信任關係。

2. 啟動 vSAN 加密功能

啟動 vSAN 加密功能非常簡單，只需要在 vSAN 的配置視窗中把加密功能選項打上勾就行了。在初始化加密功能時，有以下兩個選項：

Erase disks before use：vSAN 在加密之前，有一個硬碟格式化的操作，當然這個操作是多個硬碟逐個進行的，vSAN 上原有的資料會在硬碟間騰挪，原有的資料不會丟失。選上這個選項的話，vSAN 在格式化時會把硬碟上原有的未經加密的資料擦除掉，這個就像是 Windows 中的完全格式化（對應的是快速格式化）。勾選這一選項能夠提高資料安全性，讓別人無法讀出硬碟上原來未經加密的資料，但是這個操作會消耗更多的時間。
Allow Reduced Redundancy：對已有的 vSAN 環境進行加密，因為已經存在很多虛機，如果富餘的空間不太多的話，可以勾選這個選項，允許 vSAN 在加密初始化過程中適當降低資料冗餘的等級，例如在初始化的這段時間僅保存虛機的一個副本，從而減少對於硬體資源的佔用。加密初始化操作結束後，還是會恢復原來設定的資料保護等級。對於全新安裝的 vSAN 環境，因為沒有資料存在，這個選項沒有什麼意義。

3. 在 vSAN 上創建虛機

vSAN 加密功能是針對整個 vSAN 集群的，一但啟動之後，對於 vSAN 上存儲的資料來說加密操作都是透明的，虛機的創建過程跟原來沒有任何區別。在演示中，我們通過 SSH 登錄到 vSAN 集群中的一台主機上，利用命令列 esxcli vsan storage list 來檢查所有 vSAN 存放裝置的狀態，我們可以看到每一塊磁片都被加密了，包括快取記憶體 SSD (cache)和容量磁片 (capacity)。所以加密功能啟動之後，vSAN 中存儲的靜態資料 (data at rest) 都是被加密的，在去重 (Deduplication) 和壓縮 (Compression) 操作中，vSAN 先把加密資料讀取出來解密，對資料進行去重和壓縮，然後再經過加密後寫入硬碟，從而保證較高的資料安全性。

VMware 產品演示 — vSAN 加密功能

延伸閱讀

Comments