- بابک سیدی نژاد
- 3 دی 1400
انواع Encryption در vSAN
دراینجا میخواهیم درمورد Encryption در vSAN صحبت کنیم . به طور کلی در vSAN دو نوع Encryption وجود دارد :
- vSAN Data at Rest Encryption
- vSAN Data in Transit Encryption
در ابتدا مورد اول بررسی میکنیم (vSAN Data at Rest Encryption):
این نوع از Encryption به گونه ای عمل میکند که زمانی اطلاعات برروی دیسک قرار گرفتند Encrypt میشوند و هیچ ارتباطی به نوع Policy که میسازیم ندارد به گونه ای که اطلاعا ت هم در Cache- Tier و هم در capacity – Tier به صورت Encrypt قرار میگیرند و حتی زمانیکه از قابلیتهای D&C نیز استفاده میکنیم فرآیند Encryption به خوبی انجام میگردد. ضمنا برای انجام این نوع Encryption احتیاج به یک KMS میباشد. درصورتیکه روز اول فعال نشده باشد برای فعال شدن نیاز است تمامی اطلاعات Disk Group حذف شود.
مورد دوم (vSAN Data in Transit Encryption):
همانطور که از اسم مشخص است در این حالت Encryption بین 2 هاست مبدا و مقصد انجام میشود در مدل قبل میشه گفت اطلاعت وقتی روی دیسک قرار میگرفتند Encrypt میشد و اگر شخصی دیسک خارج میکرد تمام اطلاعات رمزگذاری شده بودند اما در این نوع فقط اطلاعاتی که بین هاستها از طریق Network ارسال میشوند Encrypt میباشند و هیچ ارتباطی به اطلاعات روی دیسک ندارد. برخلاف مدل قبل در این حالت نیاز به سرور KMS نیست و کلیدها به صورت داخلی ساخته میشوند. فرآیند ایجاد کلید در این مدل به صورت زمانبندی شده میباشد و به صورت پیش قرض هفتگی است که قابل تنظیم است .
در زیر جدولی ازتقاوت این 2 مدل نیز قرار دارد :
در انتها نکاتی پیرامون فعال کردن Encryption:
برای فعال کردن Encryption نیاز به لایسنس vSAN Enterprise یا vSAN Enterprise plus میباشد.
درصورتیکه اطلاعات زیادی برروی vSAN داریم فعال کردن این مورد در ابتدا کاهش چشم گیری بر عملکرد vSAN خواهد گذاشت.
توصیه میشه درصورتیکه میخواهید Encryption ازنوع Data at Rest فعال کنید توصیه میشود حتما این کار قبل از قرار گرفتن vSAN در محیط Production صورت گیرد.