请查看以下虚拟机加密限制以避免以后遇到问题。

要了解哪些设备和功能不能与虚拟机加密结合使用,请参见虚拟机加密互操作性

限制条件

规划虚拟机加密策略时,请考虑以下限制。

  • 克隆已加密虚拟机或执行 Storage vMotion 操作时,您可以尝试更改磁盘格式。此类转换不一定成功。例如,如果您克隆一个虚拟机并尝试将磁盘格式从延迟置零厚格式更改为精简置备格式,虚拟机磁盘将保持延迟置零厚格式。

  • 无法使用编辑设置菜单对虚拟机及其磁盘进行加密。相反,您必须更改存储策略。可以通过使用编辑设置菜单或更改存储策略来执行其他加密任务(例如,对已加密虚拟机的未加密磁盘进行加密)。请参见加密现有虚拟机或虚拟磁盘

  • 从虚拟机分离磁盘时,该虚拟磁盘的存储策略信息不会保留。

    • 如果虚拟磁盘已加密,则您必须将存储策略显式设置为虚拟机加密策略,或显式设置为包含加密的存储策略。

    • 如果虚拟磁盘未加密,则您可以在将该磁盘添加到虚拟机时更改存储策略。

    有关详细信息,请参见虚拟磁盘加密

  • 将虚拟机移动到其他群集之前,请解密核心转储。

    vCenter Server 不会存储 KMS 密钥,只会跟踪密钥 ID。因此,vCenter Server 不会持久存储 ESXi 主机密钥。

    在某些情况下,例如当您将 ESXi 主机移动到其他群集并重新引导该主机时,vCenter Server 会为该主机分配新的主机密钥。您无法使用新的主机密钥解密任何现有的核心转储。

  • 已加密虚拟机不支持 OVF 导出。

虚拟机锁定状态

如果虚拟机密钥或一个或多个虚拟磁盘密钥缺失,虚拟机将进入锁定状态。在锁定状态下,您无法执行虚拟机操作。

  • 通过 vSphere Web Client 对虚拟机及其磁盘进行加密时,同一个密钥用于两者。

  • 使用 API 执行加密时,您可以对虚拟机和磁盘使用不同的加密密钥。在这种情况下,如果您尝试打开虚拟机的电源,并且其中一个磁盘密钥缺失,则打开电源操作将失败。如果移除该虚拟磁盘,则您可以打开虚拟机的电源。

有关故障排除建议,请参见解决缺少密钥问题

密钥管理服务器 (KMS)

只能将 KMS 添加到 vCenter Server 系统中一次。无法添加 KMS 两次,例如,在两个不同 KMS 群集实例中。