从 vSphere Client 创建加密虚拟机时,可以决定哪些磁盘不需要进行加密。您可以稍后添加磁盘并设置其加密策略。不能将加密磁盘添加到未加密的虚拟机;如果虚拟机未加密,无法加密磁盘。
可以通过存储策略控制虚拟机及其磁盘的加密。虚拟机主页的存储策略可以控制虚拟机本身,每个虚拟磁盘都具有关联的存储策略。
- 将虚拟机主页的存储策略设置为加密策略时,将仅加密虚拟机本身。
- 将虚拟机主页及所有磁盘的存储策略设置为加密策略时,将加密所有组件。
请考虑以下用例。
| 用例 | 详细信息 |
|---|---|
| 创建加密的虚拟机。 | 如果在创建加密的虚拟机时添加磁盘,将默认加密这些磁盘。可以将策略更改为不加密一个或多个磁盘。 创建虚拟机之后,可以明确更改每个磁盘的存储策略。请参见更改虚拟磁盘的加密策略。 |
| 加密虚拟机。 | 要加密现有虚拟机,可以更改其存储策略。可以更改虚拟机及所有虚拟磁盘的存储策略。要仅加密虚拟机,可以为虚拟机主页指定加密策略,并为每个虚拟磁盘选择不同的存储策略(例如数据存储默认值)。请参见创建加密虚拟机。 |
| 将现有未加密磁盘添加到加密虚拟机(加密存储策略)。 | 失败并显示错误。必须通过默认存储策略添加磁盘,但可以稍后更改存储策略。请参见更改虚拟磁盘的加密策略。 |
| 通过不包括加密的存储策略(例如数据存储默认值)将现有未加密磁盘添加到加密的虚拟机。 | 磁盘使用默认存储策略。如果需要加密磁盘,可以在添加磁盘后明确更改存储策略。请参见更改虚拟磁盘的加密策略。 |
| 将加密磁盘添加到加密虚拟机。虚拟机主页存储策略为加密策略。 | 添加磁盘时,其将保持加密状态。vSphere Client 显示大小和其他属性,包括加密状态。 |
| 将现有加密磁盘添加到未加密的虚拟机。 | 不支持此用例。 |
| 注册加密虚拟机。 | 如果从 vCenter Server 中移除加密虚拟机,但不将其从磁盘中删除,则可以通过注册虚拟机的虚拟机配置 (.vmx) 文件将其返回到 vCenter Server 清单。要注册加密虚拟机,用户必须具有特权。 如果使用标准密钥提供程序对虚拟机进行了加密,则在注册加密虚拟机时,vCenter Server 会将所需密钥推送到 ESXi 主机。如果注册虚拟机的用户没有特权,vCenter Server 会在注册时锁定虚拟机,并且在解锁之前无法使用虚拟机。 如果使用可信密钥提供程序或 vSphere Native Key Provider 对虚拟机进行了加密,则在注册加密虚拟机时,vCenter Server 不再向 ESXi 主机推送密钥。而是在注册虚拟机时从主机中获取密钥。如果注册虚拟机的用户没有特权,则 vCenter Server 不允许执行该操作。 |
