可以使用 VMware Cloud Director Service Provider Admin Portal 将启用了加密的存储策略添加到提供者 VDC。通过将 VM 或磁盘与具有 VM 加密功能的存储策略相关联,可对 VM 和磁盘进行加密。

VMware Cloud Director 10.1 开始,可以使用 VM 加密提高数据的安全性。加密不仅能保护虚拟机,而且还能保护虚拟机磁盘和其他文件。可以在 API 和 UI 中查看存储策略的功能以及 VM 和磁盘的加密状态。可以对相应 vCenter 版本中支持的加密 VM 和磁盘执行所有操作。

启用 VM 加密

要在 VMware Cloud Director 中对 VM 进行加密,必须在 vCenter 实例上至少配置一个密钥管理服务器 (KMS),并将 VM 和磁盘与具有 VM 加密功能的存储策略相关联。

  1. vCenter 中,添加 KMS 集群。一个 vCenter 实例可以有多个 KMS 集群。有关设置密钥管理服务器集群的信息,请参见vSphere 安全性》指南中的设置密钥管理服务器集群主题。
  2. vCenter 中,在存储策略上启用加密。请参见vSphere 安全性》指南中的创建加密存储策略主题。
  3. VMware Cloud Director Service Provider Admin Portal 中,将启用了加密的策略添加到提供者 VDC。请参见在 VMware Cloud Director 中将 VM 存储策略添加到提供者虚拟数据中心
  4. VMware Cloud Director Service Provider Admin Portal 中,将启用了加密的策略添加到组织 VDC。请参见将 VM 存储策略添加到 VMware Cloud Director 组织虚拟数据中心
  5. VMware Cloud Director Tenant Portal 中,租户可以将 VM 或磁盘与启用了 VM 加密的存储策略相关联。
  6. 要解密 VM 或磁盘,租户可以将该 VM 或磁盘与未启用加密的存储策略相关联。

VM 加密限制

VMware Cloud Director 不支持以下操作。

  • 对打开电源的 VM 或其磁盘进行加密或解密。
  • 导出加密 VM 的 OVF。
  • 具有快照的 VM 的磁盘是快照的一部分时,对这些磁盘进行加密和解密。
  • 当 VM 磁盘基于加密策略时对 VM 进行解密。
  • 将加密磁盘添加到未加密 VM。
  • 对未加密 VM 上的现有磁盘进行加密。
  • 将已加密的给定磁盘添加到未加密 VM。
  • 创建加密的链接克隆。
  • 对链接克隆 VM 或其磁盘进行加密。
  • 在源 VM 已加密时,跨 vCenter 实例实例化、移动或克隆 VM。
注: 在快速置备的组织 VDC 上,如果源 VM 或目标 VM 已加密且您要创建克隆, VMware Cloud Director 始终会创建一个完整克隆。

了解 VM 加密存储功能

默认情况下,系统管理员组织管理员具有查看组织 VDC 存储功能以及 VM 和磁盘是否已加密所需的权限。vApp 作者可以查看 VM 和磁盘的加密状态。有关角色和权限的详细信息,请参见预定义 VMware Cloud Director 角色及其权限

可以在资源 > vSphere 资源 > 存储策略下的功能列中查看所有存储功能。此列显示 VM 加密、基于标记的关联、vSAN 和 IOPS 限制存储功能。要查看存储功能的完整列表,请单击存储策略名称左侧的箭头展开该行。

还可以在提供者 VDC 的存储策略选项卡中查看存储功能信息。