Логическая схема работы сервиса

1. Выделение дискового пространства с поддержкой политики шифрования.

2. Вы создаете шифрованную ВМ.

3. vCenter с помощью NKP генерирует KEK и сохраняет его в своей базе данных.

4. vCenter передает KEK всем ESXi в кластере vSphere High Avalibility и сохраняет в своей памяти KEK ID. ESXi хранят KEK в оперативной памяти и не записывают его на диск.

5. ESXi генерирует DEK после получения KEK.

6. ESXi зашифровывает DEK с помощью KEK.

7. ESXi записывает зашифрованный DEK в конфигурационный файл ВМ.

8. ESXi шифрует файлы ВМ с помощью DEK.

9. Вы настраиваете Full Disk Encryption на уровне ОС c хранением ключа шифрования в vTPM.