AB Data

The Kasten K10灾难恢复（DR） 该功能即使在完全破坏群集的情况下也可以恢复Kasten K10的安装。

对于此用例,使用单独的机制:启用DR时,需要指定密码短语。然后,DR密码短语存储在k10-dr-secret Kubernetes机密中,并用于在数据存储在外部位置之前对其进行加密。该数据还包括主密钥（现在已加密两次）。

加密如何影响运营
由于所有快照都是加密的,因此您可能想知道在操作过程中需要采取哪些步骤来确保备份始终可以解密。

灾难恢复（DR）
灾难恢复必须经过两个级别的加密:

DR密码短语有助于解密存储在外部存储位置中的数据。工件列表被下载,解密并存储在Kasten K10 ’的目录中。工件之一是仍解密的主密钥。
然后使用Passkey解密主密钥。这意味着DR密码短语（k10-dr-secret）和Passkey在Kasten K10 DR场景中都很重要。
根据您对Kasten K10的配置方式,Passkey的秘密可 马耳他电话号码列表 能位于备份中,也可能不在备份中。

特别是在使用kasten-io名称空间之外的秘密配置自定义Passkey密码短语时,DR功能不会备份Passkey。无论如何,将Passkey密码短语**存储在Kubernetes群集之外的安全位置是有意义的。

如果您使用的是KMS或Vault集成,则仍然可以按需生成新的访问令牌。

设置
安装Kasten K10时,您可以让它自动生成一个新的随机密码短语,也可以使用k10-cluster-passphrase秘密来预先配置Passkey。无论哪种方式,Kasten K10都会生成一个新的主密钥。

重新启动
当Kasten K10加密服务重新启动时,它必须再次解密主密钥。为此,它从Kasten K10目录中读取主密钥的密文,然后使用密码短语对其进行解密,或将其发送到配置的密钥管理解决方案（KMS或Vault）进行解密。

按键旋转
您可以随时更新KMS或Vault中使用的密码或密钥。为此,只需使用usenow标志创建一个新的Passkey。然后,Kasten使用新的Passkey重新加密主密钥,并存储更新的密文。现在可以删除旧的Passkey。

由于主密钥用于派生加密密钥,并且加密的快照是不可变的,因此主密钥本身永远不会旋转。

可能的配置
密码类型
您可以使用密码短语,AWS KMS中的CMK或HashiCorp Vault Transit Secrets引擎来保护主密钥。请参阅上面有关密码的部分,以及我即将发布的两个单独的帖子,这些帖子提供了有关如何用Vault设置Kasten和用KMS设置Kasten的详细信息。

多只密码
在特殊情况下,还可能具有多个密码,所有这些密码都可以用于解密主密钥。如果您需要这个, 联系Kasten K10支持。