vSAN 采用對稱加密算法 XTS-AES-256 來對虛機進行加密，對虛機文件和加密密鑰一起經(jīng)過特殊加密算法處理后，使其變成復雜的加密數(shù)據(jù)。高級加密標準 AES （Advanced Encryption Standard） 是美國聯(lián)邦政府采用的一種區(qū)塊加密標準。XTS-AES 算法是 2008 年發(fā)布的，是目前數(shù)據(jù)存儲領域廣泛使用的一種加密算法。AES 加密密鑰長度可以是128比特、192比特、256比特中的任意一個，密鑰長度越長越難破解，XTS-AES-256 采用的是256比特長度密鑰。

　　值得一提的是，vSAN 可以利用 Intel CPU 的 AES-NI （Advanced Encryption Standard – New Instruction） 指令集來加密，通過硬件來加速加密算法，Intel 的 CPU 從 Westmere 開始就全面支持 ASE-NI 指令集。利用 Intel CPU 硬件來加速加密過程，可以節(jié)省加密過程對于 CPU 資源的占用，從而把更多的 CPU 資源留給正常的工作負載使用。

　　下面給大家看一段 vSAN 環(huán)境中配置和使用加密功能的視頻演示，演示內(nèi)容分為以下幾步：

　　vSAN 加密采用的是客戶自帶密鑰 （Bring-Your-Own-Key） 的策略，有這方面要求的客戶大部分都已經(jīng)部署了密鑰管理服務器，我們只需要在 vSAN 中指定客戶現(xiàn)有的 KMS 服務器就可以了。vSAN 支持兼容 KMIP （Key Management Interoperability Protocol） 1.1 的 KMS 服務器。

　　指定好 KMS 服務器之后，還需要建立 vSAN 和 KMS 服務器之間的信任關系，就是指定兩者之間的安全通信機制�？梢酝ㄟ^ CA 證書等方法來獲得 KMS 服務的信任，在演示中我們是通過直接上傳證書和私有密鑰來建立 vSAN 和 KMS 之間的信任關系。”

　　激活 vSAN 加密功能非常簡單，只需要在 vSAN 的配置窗口中把加密功能選項打上勾就行了。在初始化加密功能時，有以下兩個選項：

　　“3、 在 vSAN 上創(chuàng)建虛機

　　vSAN 加密功能是針對整個 vSAN 集群的，一但激活之后，對于 vSAN 上存儲的數(shù)據(jù)來說加密操作都是透明的，虛機的創(chuàng)建過程跟原來沒有任何區(qū)別。在演示中，我們通過 SSH 登錄到 vSAN 集群中的一臺主機上，利用命令行 esxcli vsan storage list 來檢查所有 vSAN 存儲設備的狀態(tài)，我們可以看到每一塊磁盤都被加密了，包括高速緩存 SSD （cache）和容量磁盤 （capacity）。所以加密功能激活之后，vSAN 中存儲的靜態(tài)數(shù)據(jù) （data at rest） 都是被加密的，在去重 （Deduplication） 和壓縮 （Compression） 操作中，vSAN 先把加密數(shù)據(jù)讀取出來解密，對數(shù)據(jù)進行去重和壓縮，然后再經(jīng)過加密后寫入硬盤，從而保證較高的數(shù)據(jù)安全性。”

　　將 VMware vSphere / vSAN 軟件與 Intel 的最新硬件平臺技術相結合，可以為用戶交付最佳的超融合架構平臺，幫助用戶簡化數(shù)據(jù)中心管理，降低采購和運維成本，輕松應對企業(yè)在數(shù)字化轉(zhuǎn)型中面對的各種挑戰(zhàn)。

　　VMware vSAN 是最佳的存儲方案平臺，具有管理簡便、高性能、低成本、易擴展的特點，在 vSAN 平臺上可以支持任何類型的應用。

　　Intel 至強處理器提供最強計算能力，基于傲騰 （Optane） 和 3D NAND 技術的固態(tài)盤是理想的高速緩存，以太網(wǎng)融合網(wǎng)卡提供穩(wěn)定的網(wǎng)絡帶寬和低網(wǎng)絡延遲。