只有在包含 vCenter Server 的环境中才能执行加密任务。此外,ESXi 主机必须为大多数加密任务启用加密模式。执行任务的用户必须拥有相应的特权。一组加密操作特权可实现精细控制。如果虚拟机加密任务要求更改为主机加密模式,则需要额外的特权。

加密特权和角色

默认情况下,具有 vCenter Server 管理员角色的用户拥有所有特权。无加密管理员角色不具有加密操作所需的以下权限。

  • 添加加密操作特权。

  • 全局 > 诊断

  • 主机 > 清单 > 为群集添加主机

  • 主机 > 清单 > 添加独立主机

  • 主机 > 本地操作 > 管理用户组

您可以为不需要加密操作特权的 vCenter Server 管理员分配无加密管理员角色。

为了进一步限制用户可执行的操作,您可以克隆无加密管理员角色,进而创建仅具有一些加密操作特权的自定义角色。例如,您可以创建这样一个角色:它允许用户加密但不能解密虚拟机。请参见使用角色分配特权

主机加密模式

只有在为 ESXi 主机启用主机加密模式时,才能对虚拟机进行加密。通常自动启用主机加密模式,但也可以明确启用该模式。可从 vSphere Web Client 或通过 vSphere API 检查和明确设置当前主机加密模式。

有关说明,请参见 以显式方式启用主机加密模式

主机加密模式启用后,不易禁用。请参见禁用主机加密模式

加密操作尝试启用主机加密模式时会自动更改。例如,假定您将加密虚拟机添加到独立主机。主机加密模式不会启用。如果您在主机上拥有所需的特权,则加密模式将自动更改为启用。

假设一个群集有三个 ESXi 主机,即主机 A、B 和 C。您将加密虚拟机添加到主机 A,发生的具体情况取决于几个要素。

  • 如果主机 A、B 和 C 已经启用加密,您只需加密操作 > 加密新项特权即可创建虚拟机。

  • 如果主机 A 和 B 已启用加密,而主机 C 未启用加密,则系统按照下面所述继续运行。

    • 假定您对每台主机都拥有加密操作 > 加密新项加密操作 > 注册主机特权。在这种情况下,虚拟机创建过程会在主机 C 上启用加密。加密过程在主机 C 上启用主机加密模式,并将密钥推送到群集中的每台主机。

      对于这种情况,您也可以在主机 C 上明确启用主机加密。

    • 假定您对虚拟机或虚拟机文件夹仅拥有加密操作 > 加密新项特权。在这种情况下,虚拟机将成功创建,密钥在主机 A 和主机 B 上将变为可用。主机 C 仍然禁用加密且没有虚拟机密钥。

  • 如果所有主机均未启用加密,并且您对主机 A 拥有加密操作 > 注册主机特权,则虚拟机创建过程会在该主机上启用主机加密。否则,将出现错误。

磁盘空间要求

您对现有虚拟机进行加密时,至少需要虚拟机目前占用空间的两倍。