GT
Зашифрован сам всан, так что да, вмки включаются
Тогда другой вопрос, если все включится где же здесь секюрити, украдут все сервера и у себя включат и расшифруют 😐
Size: a a a
2021 March 11
EZ
Вот в этом и был мой вопрос)
EZ
С другой стороны, если вытащить диски то, наверное, на другом кластере они уже не запустятся
R
Полагаю что без обесточивания может как-то в памяти сохранятся какое-то время ключи, но это догадки, в linux с luks помоему как раз подобное поведение можно использовать чтобы при простой перезагрузки сервера не трабовалось вводить пароль для разблокировки дисков
R
а вот если обесточить тогда однозначно надо вводить, отсюда и возник вопрос
EZ
В доке достаточно четко сказано что ключи "are discarded on reboot"
R
А все хосты отключал?
R
vsan как раз распределённое хранилище, и если vm переедут на другие рабочие ноды, вот оно и будет работать.
GT
У каждого хоста ключи к своим дискгрупам
EZ
А дисковые группы на ребунтувшемся хосте как монтируются?
GT
Вот и непонятно откуда ключи берут
R
У каждого хоста ключи к своим дискгрупам
а вот и хз, одни или нет, и опять же vm прекрасно будут работать на не перезагруженых нодах, т.к. у них то ключи есть
EZ
Меня несколько смущает вот эта фраза " vCenter Server generates a primary key and pushes it to all ESXi hosts in the cluster. The ESXi hosts then generate data encryption keys (even when not connected to vCenter Server) to enable security functionality such as vTPM (included in all vSphere editions)."
EZ
а вот и хз, одни или нет, и опять же vm прекрасно будут работать на не перезагруженых нодах, т.к. у них то ключи есть
ВМ вообще не в курсе что под ними что-то шифровано
R
Так и я про это же
R
просто ребутать один хост смысла нет, надо все хосты отребутать и смотреть
EZ
А, в плане того что ВМ запустятся на других нодах? Это-то понятно, тут вопрос откуда у хоста ключи чтобы свои диски подмонтировать
EZ
просто ребутать один хост смысла нет, надо все хосты отребутать и смотреть
Почему нет? У каждого хоста свои дисковые групы и свои ключи для них. Если KMS недоступен - хост не может примонировать свои дисковые группы
R
а для vsan разве не политикой для конкретной vm устанавливается режим шифрования?
EZ
нет