从 vSphere Client 创建加密虚拟机时,可以决定哪些磁盘不需要进行加密。您可以稍后添加磁盘并设置其加密策略。不能将加密磁盘添加到未加密的虚拟机;如果虚拟机未加密,无法加密磁盘。
可以通过存储策略控制虚拟机及其磁盘的加密。虚拟机主页的存储策略可以控制虚拟机本身,每个虚拟磁盘都具有关联的存储策略。
- 将虚拟机主页的存储策略设置为加密策略时,将仅加密虚拟机本身。
- 将虚拟机主页及所有磁盘的存储策略设置为加密策略时,将加密所有组件。
请考虑以下用例。
用例 | 详细信息 |
---|---|
创建加密的虚拟机。 | 如果在创建加密的虚拟机时添加磁盘,将默认加密这些磁盘。可以将策略更改为不加密一个或多个磁盘。 创建虚拟机之后,可以明确更改每个磁盘的存储策略。请参见更改虚拟磁盘的加密策略。 |
加密虚拟机。 | 要加密现有虚拟机,可以更改其存储策略。可以更改虚拟机及所有虚拟磁盘的存储策略。要仅加密虚拟机,可以为虚拟机主页指定加密策略,并为每个虚拟磁盘选择不同的存储策略(例如数据存储默认值)。请参见创建加密虚拟机。 |
将现有未加密磁盘添加到加密虚拟机(加密存储策略)。 | 失败并显示错误。必须通过默认存储策略添加磁盘,但可以稍后更改存储策略。请参见更改虚拟磁盘的加密策略。 |
通过不包括加密的存储策略(例如数据存储默认值)将现有未加密磁盘添加到加密的虚拟机。 | 磁盘使用默认存储策略。如果需要加密磁盘,可以在添加磁盘后明确更改存储策略。请参见更改虚拟磁盘的加密策略。 |
将加密磁盘添加到加密虚拟机。虚拟机主页存储策略为加密策略。 | 添加磁盘时,其将保持加密状态。vSphere Client 显示大小和其他属性,包括加密状态。 |
将现有加密磁盘添加到未加密的虚拟机。 | 不支持此用例。 |
注册加密虚拟机。 | 如果从 vCenter Server 中移除加密虚拟机,但不将其从磁盘中删除,则可以通过注册虚拟机的虚拟机配置 (.vmx) 文件将其返回到 vCenter Server 清单。要注册加密虚拟机,用户必须具有 特权。 如果使用标准密钥提供程序对虚拟机进行了加密,则在注册加密虚拟机时,vCenter Server 会将所需密钥推送到 ESXi 主机。如果注册虚拟机的用户没有 特权,vCenter Server 会在注册时锁定虚拟机,并且在解锁之前无法使用虚拟机。 如果使用可信密钥提供程序或 vSphere Native Key Provider 对虚拟机进行了加密,则在注册加密虚拟机时,vCenter Server 不再向 ESXi 主机推送密钥。而是在注册虚拟机时从主机中获取密钥。如果注册虚拟机的用户没有 特权,则 vCenter Server 不允许执行该操作。 |