vSAN 采用對稱(chēng)加密算法 XTS-AES-256 來(lái)對虛機進(jìn)行加密，對虛機文件和加密密鑰一起經(jīng)過(guò)特殊加密算法處理后，使其變成復雜的加密數據。高級加密標準 AES （Advanced Encryption Standard） 是美國聯(lián)邦政府采用的一種區塊加密標準。XTS-AES 算法是 2008 年發(fā)布的，是目前數據存儲領(lǐng)域廣泛使用的一種加密算法。AES 加密密鑰長(cháng)度可以是128比特、192比特、256比特中的任意一個(gè)，密鑰長(cháng)度越長(cháng)越難破解，XTS-AES-256 采用的是256比特長(cháng)度密鑰。

　　值得一提的是，vSAN 可以利用 Intel CPU 的 AES-NI （Advanced Encryption Standard – New Instruction） 指令集來(lái)加密，通過(guò)硬件來(lái)加速加密算法，Intel 的 CPU 從 Westmere 開(kāi)始就全面支持 ASE-NI 指令集。利用 Intel CPU 硬件來(lái)加速加密過(guò)程，可以節省加密過(guò)程對于 CPU 資源的占用，從而把更多的 CPU 資源留給正常的工作負載使用。

　　下面給大家看一段 vSAN 環(huán)境中配置和使用加密功能的視頻演示，演示內容分為以下幾步：

　　vSAN 加密采用的是客戶(hù)自帶密鑰 （Bring-Your-Own-Key） 的策略，有這方面要求的客戶(hù)大部分都已經(jīng)部署了密鑰管理服務(wù)器，我們只需要在 vSAN 中指定客戶(hù)現有的 KMS 服務(wù)器就可以了。vSAN 支持兼容 KMIP （Key Management Interoperability Protocol） 1.1 的 KMS 服務(wù)器。

　　指定好 KMS 服務(wù)器之后，還需要建立 vSAN 和 KMS 服務(wù)器之間的信任關(guān)系，就是指定兩者之間的安全通信機制。可以通過(guò) CA 證書(shū)等方法來(lái)獲得 KMS 服務(wù)的信任，在演示中我們是通過(guò)直接上傳證書(shū)和私有密鑰來(lái)建立 vSAN 和 KMS 之間的信任關(guān)系。”

　　激活 vSAN 加密功能非常簡(jiǎn)單，只需要在 vSAN 的配置窗口中把加密功能選項打上勾就行了。在初始化加密功能時(shí)，有以下兩個(gè)選項：

　　“3、 在 vSAN 上創(chuàng )建虛機

　　vSAN 加密功能是針對整個(gè) vSAN 集群的，一但激活之后，對于 vSAN 上存儲的數據來(lái)說(shuō)加密操作都是透明的，虛機的創(chuàng )建過(guò)程跟原來(lái)沒(méi)有任何區別。在演示中，我們通過(guò) SSH 登錄到 vSAN 集群中的一臺主機上，利用命令行 esxcli vsan storage list 來(lái)檢查所有 vSAN 存儲設備的狀態(tài)，我們可以看到每一塊磁盤(pán)都被加密了，包括高速緩存 SSD （cache）和容量磁盤(pán) （capacity）。所以加密功能激活之后，vSAN 中存儲的靜態(tài)數據 （data at rest） 都是被加密的，在去重 （Deduplication） 和壓縮 （Compression） 操作中，vSAN 先把加密數據讀取出來(lái)解密，對數據進(jìn)行去重和壓縮，然后再經(jīng)過(guò)加密后寫(xiě)入硬盤(pán)，從而保證較高的數據安全性。”

　　將 VMware vSphere / vSAN 軟件與 Intel 的最新硬件平臺技術(shù)相結合，可以為用戶(hù)交付最佳的超融合架構平臺，幫助用戶(hù)簡(jiǎn)化數據中心管理，降低采購和運維成本，輕松應對企業(yè)在數字化轉型中面對的各種挑戰。

　　VMware vSAN 是最佳的存儲方案平臺，具有管理簡(jiǎn)便、高性能、低成本、易擴展的特點(diǎn)，在 vSAN 平臺上可以支持任何類(lèi)型的應用。

　　Intel 至強處理器提供最強計算能力，基于傲騰 （Optane） 和 3D NAND 技術(shù)的固態(tài)盤(pán)是理想的高速緩存，以太網(wǎng)融合網(wǎng)卡提供穩定的網(wǎng)絡(luò )帶寬和低網(wǎng)絡(luò )延遲。