VMware vSAN 6.6是第一款在hypervisor內包含超融合加密的軟件定義的存儲產品。vSAN 6.6在vSAN內核中創建了靜態數據加密,并在集群范圍內啟用,在vSAN數據存儲中對所有對象進行了加密。
這一全新的特性被稱為vSAN加密。 對大多數企業來說網絡安全是頭等大事,因此vSAN加密功能很受歡迎。IT管理員一直不樂意在操作系統層部署加密或者允許應用所有者對應用、數據進行加密。
靜態數據加密通過對位于vSAN數據存儲上的數據進行加密解決了上述問題。
vSAN加密與硬件無關,這意味著管理員能夠選擇他們想要的存儲硬件設備,不需要購買昂貴的自加密驅動。
VSAN加密 VS. vSphere 虛擬機加密
vSAN加密可以在混合環境以及全閃存配置環境下使用,需要一個與密鑰管理互通協議1.1兼容的KMS才能與vCenter Server進行通信。vSAN加密使用xor-encrypt-xor-based tweaked-codebook模式采用AES-256 XTS密碼對緩存層以及存儲層進行加密。vSAN加密同樣與vSAN全閃存效能功能兼容,比如重復數據刪除、加密以及糾刪碼;這意味著其交付了高效、安全的存儲。在數據進入緩存層時對其進行加密,離開緩存層時對其進行解密。最后,數據進入存儲層時刪除重復數據并壓縮,并再次對其進行加密。
vSAN加密的加密機制與vSphere 6.5虛擬機加密類似,都使用同樣的由KMS提供的加密庫。實際上,你可以針對vSAN加密及虛擬機加密使用同樣的KMS。但除此之外沒有其他相似之處。虛擬機加密通過用于I/O過濾的vSphere API對虛擬機進行加密,而vSAN加密對整個數據存儲進行加密。
另一個主要的不同之處是vSAN加密采用的是二層加密。它使用KEK加密DEK。DEK是一個隨機生成的key,在每個磁盤上對數據進行加密。每個vSAN主機存儲加密的DEK但不在每個磁盤上存儲KEK。如果主機需要KEK,需要向KMS申請。
vSAN加密工作原理當vCenter Server從KMS請求AES-256 KEK時,vSAN加密便粉墨登場了。vCenter Server僅存儲KEK的ID,并不存儲key。ESXi主機使用行業標準的AES-256 XTS模式對磁盤數據進行加密。每個磁盤有一個唯一的隨機生成的DEK。每臺ESXi主機然后使用KEK加密DEK并在磁盤上存儲加密的DEK。主機并不在磁盤上存儲KEK。如果主機重啟,那么要使用相應的ID從KMS請求KEK。主機能夠按需解密DEK。
主機使用主機key加密核心轉儲而不是數據。在同一個集群中的所有主機使用相同的主機key。VSAN加密生成一個隨機key在收集支持捆綁時重新加密核心轉儲。加密隨機key時要使用一個密碼。
當加密的vSAN主機重啟時,不會掛載磁盤組直到其收到KEK,這意味著該過程可能需要花費幾分鐘。而且加密過程很消耗CPU資源。AES-NI顯著改善了加密性能,因此要在系統的基礎輸入/輸出系統中啟用AES-NI。
加密過程使用vSAN加密對數據加密,首先要在vCenter Server中增加KMS并與之建立一個受信的連接。不要在試圖加密的數據存儲上部署KMS,因為如果出現故障,vSAN集群內的主機必須與KMS通信。
選擇你希望部署KMS的vCenter Server,在配置標簽下,選擇鍵值管理服務器并添加KMS詳細信息。
圖1顯示了在vCenter、ESXi主機以及KMS之間建立受信連接的選項。一旦選擇了上述選項之一,就可以在vSAN集群中啟用加密了。
圖1.選擇數字證書與KMS建立信任
開啟vSAN加密非常簡單。只需要選擇vSAN集群并進入配置標簽。在vSAN下,選擇通用。點擊編輯按鈕并勾選“打開vSAN”、“加密”復選框。一定要選擇合適的KMS集群。
圖2.編輯vSAN設置
這個頁面,你應該還會看到“在使用前清除磁盤”以及“允許減少冗余”選項。“在使用前清除磁盤”選項在加密時清除存儲設備上的現有數據。一定要意識到這會增加磁盤格式化時間。
如果vSAN集群已經部署了較多的虛擬機,而且你意識到沒有足夠可用的容量在加密前用于遷移數據,“允許減少冗余”選項減少了虛擬機的保護級別為執行加密空出了存儲空間。該方法不會將數據遷移到集群中的其他數據;僅僅移除每個磁盤組,升級磁盤格式然后再將磁盤組添加回來。所有對象仍舊可用但減少了冗余。
一旦點擊了確定,vSAN將會重新格式化磁盤組中的所有磁盤。vSAN每次移除一個磁盤組,轉移磁盤組中的數據,將每塊磁盤格式化為on-disk 5.0格式,重新創建磁盤組并繼續對下一個磁盤組進行處理。這可能相當花時間,尤其是如果vSAN需要在重新格式化期間遷移大量的數據,時間就更長了。
注意如果在任何時點,選擇禁用vSAN加密,vSAN將會執行類似的重新格式化過程移除磁盤加密。
如果需要重新生成加密key,可以在vSAN配置用戶界面下完成。重新生成key有兩種方式。第一種是使用全新的KEK加密現有的DEK。另一種方式是使用KEK和DEK完全重新加密所有數據。后一種方法需要很長時間,因為所有數據必須使用新key重新加密。
為生成全新的加密key,單擊配置標簽。在vSAN下,選擇通用然后單擊生成全新的加密key。這會打開一個窗口,你可以生成全新的加密key,同時重新加密vSAN集群中的所有數據。為生成一個全新的KEK,單擊確定。DEK將會使用全新的DEY重新加密。為生成全新的KEK和全新的DEK,并對vSAN集群內的所有數據重新加密,需要選擇復選框“同時使用新key對存儲上的所有數據重新加密。”