VMwareLAB My

دراینجا میخواهیم درمورد Encryption در vSAN صحبت کنیم . به طور کلی در vSAN دو نوع Encryption وجود دارد :

• vSAN Data at Rest Encryption
• vSAN Data in Transit Encryption

در ابتدا مورد اول بررسی میکنیم (vSAN Data at Rest Encryption):

این نوع از Encryption به گونه ای عمل میکند که زمانی اطلاعات برروی دیسک قرار گرفتند Encrypt میشوند و هیچ ارتباطی به نوع Policy که میسازیم ندارد به گونه ای که اطلاعا ت هم در Cache- Tier و هم در capacity – Tier به صورت Encrypt  قرار میگیرند و حتی زمانیکه از قابلیتهای D&C نیز استفاده میکنیم فرآیند Encryption به خوبی انجام میگردد. ضمنا برای انجام این نوع Encryption احتیاج به یک KMS میباشد.  درصورتیکه روز اول فعال نشده باشد برای فعال شدن نیاز است تمامی اطلاعات Disk Group حذف شود.

مورد دوم (vSAN Data in Transit Encryption):

همانطور که از اسم مشخص است در این حالت Encryption بین 2 هاست مبدا و مقصد انجام میشود در مدل قبل میشه گفت اطلاعت وقتی روی دیسک قرار میگرفتند Encrypt  میشد و اگر شخصی دیسک خارج میکرد تمام اطلاعات رمزگذاری شده بودند اما در این نوع فقط اطلاعاتی که بین هاستها از طریق Network ارسال میشوند Encrypt  میباشند و هیچ ارتباطی به اطلاعات روی دیسک ندارد. برخلاف مدل قبل در این حالت نیاز به سرور KMS نیست و کلیدها به صورت داخلی ساخته میشوند. فرآیند ایجاد کلید در این مدل به صورت زمانبندی شده میباشد و به صورت پیش قرض هفتگی است که قابل تنظیم است .

در زیر جدولی ازتقاوت این 2 مدل نیز قرار دارد :

در انتها نکاتی پیرامون فعال کردن Encryption:

برای فعال کردن Encryption نیاز به لایسنس vSAN Enterprise  یا vSAN Enterprise plus  میباشد.

درصورتیکه اطلاعات زیادی برروی vSAN داریم فعال کردن این مورد در ابتدا کاهش چشم گیری بر عملکرد vSAN خواهد گذاشت.

توصیه میشه درصورتیکه میخواهید Encryption  ازنوع Data at Rest فعال کنید توصیه میشود حتما این کار قبل از قرار گرفتن vSAN در محیط Production صورت گیرد.