克隆加密虚拟机

This site will be decommissioned on January 30th 2025. After that date content will be available at techdocs.broadcom.com.

克隆加密虚拟机时，克隆将使用相同的密钥进行加密。要更改克隆的密钥，请关闭虚拟机电源并使用 API 对克隆执行重新加密。请参见《vSphere Web Services SDK 编程指南》。

前提条件

建立与 KMS 的可信连接并选择默认 KMS。
创建加密存储策略，或使用捆绑的示例，虚拟机加密策略。
所需特权：
- 加密操作.克隆
- 如果未启用主机加密模式，则还必须拥有加密操作.注册主机特权。

过程

在 vSphere Client 清单中，浏览到虚拟机。

要创建加密虚拟机的克隆，请右键单击虚拟机，选择克隆 > 克隆到虚拟机，并按照提示操作。

选项	操作
选择名称和文件夹	指定克隆的名称和目标位置。
选择计算资源	指定您拥有创建加密虚拟机特权的对象。请参见加密任务的必备条件和必需特权。
选择存储	在选择虚拟磁盘格式菜单中做出选择，并选择数据存储。不能在克隆操作过程中更改存储策略。
选择克隆选项	按《vSphere 虚拟机管理》文档中的论述，选择克隆选项。
即将完成	检查信息，然后单击完成。

（可选） 更改克隆虚拟机的密钥。
默认情况下，使用与父虚拟机相同的密钥来创建克隆虚拟机。最佳做法是更改克隆虚拟机的密钥，以确保多个虚拟机不会使用相同的密钥。
1. 关闭虚拟机电源。
2. 使用 API 对克隆执行重新加密。请参见《vSphere Web Services SDK 编程指南》。
  要使用不同的 DEK 和 KEK，请对克隆虚拟机执行深层重新加密。要使用不同的 KEK，请对克隆虚拟机执行浅层重新加密。虚拟机已打开电源时可以执行浅层重新加密操作，除非虚拟机中存在快照。