7 Technologist
•
936 メッセージ
0
44
VxRailのvSAN暗号化機能について
いつもお世話になっております。
VxRail 8.x OSAでvSANの暗号化機能を使うことを検討しておりまして、
いくつかご質問させてください。
・VxRail 8.x OSAであれば特に追加のライセンスや
追加コンポーネントは必要なく、標準機能でvSAN暗号化機能が
使える認識でよかったでしょうか?
・標準機能でvSAN暗号化が可能だったとして、
暗号鍵や復号鍵の管理はやはり必要だという認識でよいでしょうか?
いまいちこの管理というのは具体的に何をすればいいのか
わかっておらず簡単にご教示いただけますと幸いです。
・vSAN暗号化は構築後にGUIからOn/Offといつでも
変更できる認識でよかったでしょうか?
もしその場合、off→onにすると今まで格納されていたデータも
含めてすべて暗号化されるイメージでよいでしょうか?
(逆にon→offにすると今まで暗号化してたデータもすべて解除される?)
・vSAN暗号化されたデータを例えば外部にコピーした場合、
外部にコピーされたデータは暗号化は解除されている、
という理解で正しかったでしょうか?
(あくまでもVxRail内のデータだけを暗号化して保護している認識です)
・vSAN暗号化を使うにおいて、何かよく知られている注意点などは
ありますでしょうか?
例えばパフォーマンス劣化がある等・・・
以上、よろしくお願いいたします。
DELL-Naoyuki K
4 Operator
4 Operator
•
1.8K メッセージ
1
2024年6月24日 08:41
追加コンポーネントは必要なく、標準機能でvSAN暗号化機能が
使える認識でよかったでしょうか?
以下のガイドにある通り、vSAN ENT 以上のライセンスが必要です。
VMware vSAN White Paper
VxRail 4.5.x 以前に購入されていた場合は、Embedded vSAN ライセンスとなりますので、vSAN ENTのはずです。VxRail 4.7.x以降の場合は購入したvSAN ライセンスエディションをご確認ください。
新ライセンス体系であるVVF/VCF に追加可能なvSAN Add-ON を利用の場合はvSAN ENT相当の機能レベルです。
・標準機能でvSAN暗号化が可能だったとして、
暗号鍵や復号鍵の管理はやはり必要だという認識でよいでしょうか?
いまいちこの管理というのは具体的に何をすればいいのか
わかっておらず簡単にご教示いただけますと幸いです。
Key Management Server (KMS、鍵管理サーバ)が必要です。
以前は外部に準備する必要がありましたが、現在では内部型の鍵サーバ(NKP)もサポートされています。
以下の投稿や記事がご参考になると思います。
VxRailをvSAN暗号化する際の、KMSサーバについて | DELL Technologies
https://itorwar.blogspot.com/2023/12/vsanvcenternkpvsan.html
変更できる認識でよかったでしょうか?
もしその場合、off→onにすると今まで格納されていたデータも
含めてすべて暗号化されるイメージでよいでしょうか?
(逆にon→offにすると今まで暗号化してたデータもすべて解除される?)
vSAN OSAの場合は構築後のOn/Offが可能です。(ESAはvSAN 8.0U2 時点で構築後の設定変更は不可)
Enable Data-At-Rest Encryption on Existing vSAN Cluster (vmware.com)
有効化の際にDisk Groupが再フォーマットされます。Onにした場合、すでに書き込まれているデータも暗号化されます。(逆も然りです)
外部にコピーされたデータは暗号化は解除されている、
という理解で正しかったでしょうか?
(あくまでもVxRail内のデータだけを暗号化して保護している認識です)
どのようにコピーするかに依りますが、ESXiのレイヤーで暗号化を解除してからデータを扱いますので、vSphereよりも上位の機能でコピーやエクスポートをする場合は暗号化は解除されているとお考え下さい。
逆に、物理ディスクをそのまま複製(ddコマンドなど)の場合は暗号化は解除されません。(盗難によるデータ漏洩対策になる)
ありますでしょうか?
例えばパフォーマンス劣化がある等・・・
暗号化自体はインラインで実施され、CPUリソースは消費しますが、追加のIOは発生しませんので、ストレージとしての性能劣化はほぼ考慮する必要がないと言われています。
IOPSを増やしていくと、非暗号化クラスタと比較して、レイテンシの立ち上がるポイントが早くなる傾向はありますが、VxRailのサイジングの基準になっているIOPS 70% 未満では性能差は確認できないため、VxRailサイザーは暗号化時の性能劣化を考慮していません。(暗号化によるCPUリソースの追加は考慮してます)
tanboi_3
7 Technologist
7 Technologist
•
936 メッセージ
0
2024年7月1日 00:46
@DELL-Naoyuki K さん
ご回答いただきありがとうございます。
助かりました!