可以将启用了加密的存储策略添加到提供者 VDC。通过将 VM 或磁盘与具有 VM 加密功能的存储策略相关联,可对 VM 和磁盘进行加密。
从 VMware Cloud Director 10.1 开始,可以使用 VM 加密提高数据的安全性。加密不仅能保护虚拟机,而且还能保护虚拟机磁盘和其他文件。可以在 API 和 UI 中查看存储策略的功能以及 VM 和磁盘的加密状态。可以对相应 vCenter Server 版本中支持的加密 VM 和磁盘执行所有操作。
启用 VM 加密
要在 VMware Cloud Director 中对 VM 进行加密,必须在 vCenter Server 实例上至少配置一个密钥管理服务器 (KMS),并将 VM 和磁盘与具有 VM 加密功能的存储策略相关联。
- 在 vCenter Server 中,添加 KMS 集群。一个 vCenter Server 实例可以有多个 KMS 集群。有关设置密钥管理服务器集群的信息,请参见《vSphere 安全性》指南中的设置密钥管理服务器集群主题。
- 在 vCenter Server 中,在存储策略上启用加密。请参见《vSphere 安全性》指南中的创建加密存储策略主题。
- 在 VMware Cloud Director Service Provider Admin Portal 中,将启用了加密的策略添加到提供者 VDC。请参见将虚拟机存储策略添加到提供者虚拟数据中心。
- 在 VMware Cloud Director Service Provider Admin Portal 中,将启用了加密的策略添加到组织 VDC。请参见将虚拟机存储策略添加到组织虚拟数据中心。
- 在 VMware Cloud Director Tenant Portal 中,租户可以将 VM 或磁盘与启用了 VM 加密的存储策略相关联。
- 要解密 VM 或磁盘,租户可以将该 VM 或磁盘与未启用加密的存储策略相关联。
VM 加密限制
VMware Cloud Director 不支持以下操作。
- 对打开电源的 VM 或其磁盘进行加密或解密。
- 导出加密 VM 的 OVF。
- 具有快照的 VM 的磁盘是快照的一部分时,对这些磁盘进行加密和解密。
- 当 VM 磁盘基于加密策略时对 VM 进行解密。
- 将加密磁盘添加到未加密 VM。
- 对未加密 VM 上的现有磁盘进行加密。
- 将已加密的给定磁盘添加到未加密 VM。
- 创建加密的链接克隆。
- 对链接克隆 VM 或其磁盘进行加密。
- 在源 VM 已加密时,跨 vCenter Server 实例实例化、移动或克隆 VM。
注: 在快速置备的组织 VDC 上,如果源 VM 或目标 VM 已加密且您要创建克隆,
VMware Cloud Director 始终会创建一个完整克隆。
了解 VM 加密存储功能
默认情况下,系统管理员和组织管理员具有查看组织 VDC 存储功能以及 VM 和磁盘是否已加密所需的权限。vApp 作者可以查看 VM 和磁盘的加密状态。有关角色和权限的详细信息,请参见预定义角色及其权限。
可以在功能列中查看所有存储功能。此列显示 VM 加密、基于标记的关联、vSAN 和 IOPS 限制存储功能。要查看存储功能的完整列表,请单击存储策略名称左侧的箭头展开该行。
下的还可以在提供者 VDC 的存储策略选项卡中查看存储功能信息。