您可以配置完整克隆以使用 vSphere 虚拟机加密功能。您可以创建具有相同加密密钥的完整克隆桌面或具有不同密钥的完整克隆桌面。
前提条件
- vSphere 6.5 或更高版本。
- 使用密钥管理服务器创建密钥管理服务器 (Key Management Server, KMS) 集群。
- 要在 KMS 和 vCenter Server 之间建立信任关系,请接受自签名 CA 证书或创建 CA 签名证书。
- 在 vSphere Web Client 中,创建 VMcrypt/VMEncryption 存储配置文件。
- Horizon 7
注: 有关 vSphere 中的虚拟机加密功能的详细信息,请参阅 vSphere 文档中的
《vSphere 安全性》文档。
过程
- 要配置使用相同加密密钥的完整克隆,请创建一个最佳配置模板以使所有桌面具有相同的加密密钥。
该克隆会继承该最佳配置模板的加密状态,包括密钥。
- 在 vSphere Web Client 中,创建一个具有 vmencrypt 存储策略的最佳配置映像虚拟机,或者先创建一个最佳配置映像虚拟机,然后应用 vmencrypt 存储策略。
- 将最佳配置映像虚拟机转换为虚拟机模板。
- 创建指向最佳配置模板的完整克隆桌面,以便所有桌面具有相同的加密密钥。
注: 在创建完整克隆桌面池时,不要选择基于内容的读缓存 (Content Based Read Cache, CBRC) 功能。CBRC 与虚拟机加密功能不兼容。
- 要配置使用不同加密密钥的完整克隆,您必须更改每个完整克隆桌面的存储策略。
- 在 vSphere Web Client 中,创建完整克隆桌面池,然后编辑完整克隆桌面。
也可以编辑现有的完整克隆桌面。
- 导航到每个完整克隆桌面,然后编辑存储策略并将存储策略更改为 vmencrypt。
每个完整克隆桌面将获得不同的加密密钥。
注: 具有存在的 CBRC 摘要磁盘的完整克隆桌面无法获得
vmencrypt 存储策略。仅当最佳配置映像虚拟机没有任何快照时,
vmencrypt 存储策略才适用。