只有在包含 vCenter Server 的环境中才能执行加密任务。此外,ESXi 主机必须为大多数加密任务启用加密模式。执行任务的用户必须拥有相应的特权。一组加密操作特权可实现精细控制。如果虚拟机加密任务要求更改为主机加密模式,则需要额外的特权。
加密特权和角色
- 添加加密操作特权。
您可以为不需要加密操作特权的 vCenter Server 管理员分配无加密管理员角色。
要对用户可执行的操作施加更多的限制,可以克隆无加密管理员角色,然后创建仅具有部分加密操作特权的自定义角色。例如,您可以创建这样一个角色:它允许用户加密但不能解密虚拟机。请参见使用角色分配特权。
主机加密模式
主机加密模式确定 ESXi 主机是否已准备好接受加密材料以加密虚拟机和虚拟磁盘。必须启用主机加密模式,才能在主机上执行任何加密操作。主机加密模式通常在需要时自动启用,但可以将其明确启用。可从 vSphere Client 或通过 vSphere API 检查和明确设置当前主机加密模式。
启用主机加密模式时,vCenter Server 会在主机上安装主机密钥,这可确保主机是加密“安全”的。安装主机密钥后,可以继续执行其他加密操作,包括 vCenter Server 从密钥提供程序获取密钥并将其推送到 ESXi 主机。
在“安全”模式下,用户环境(即,hostd)和加密虚拟机会加密其核心转储。未加密虚拟机不会加密其核心转储。
有关加密核心转储以及 VMware 技术支持如何使用它们的详细信息,请参见位于 http://kb.vmware.com/kb/2147388 的 VMware 知识库文章。
有关说明,请参见 以显式方式启用主机加密模式。
主机加密模式启用后,不易禁用。请参见使用 API 禁用主机加密模式。
加密操作尝试启用主机加密模式时会自动更改。例如,假定您将加密虚拟机添加到独立主机。主机加密模式不会启用。如果您在主机上拥有所需的特权,则加密模式将自动更改为启用。
假设一个集群有三个 ESXi 主机,即主机 A、B 和 C。在主机 A 上创建一个加密虚拟机。发生的具体情况取决于几个要素。
- 如果主机 A、B 和 C 已经启用加密,您只需 特权即可创建虚拟机。
- 如果主机 A 和 B 已启用加密,而主机 C 未启用加密,则系统按照下面所述继续运行。
- 假定您对每台主机都拥有
对于这种情况,您也可以在主机 C 上明确启用主机加密。
和 特权。在这种情况下,虚拟机创建过程会在主机 C 上启用加密。加密过程在主机 C 上启用主机加密模式,并将密钥推送到集群中的每台主机。 - 假定您对虚拟机或虚拟机文件夹仅拥有 特权。在这种情况下,虚拟机将成功创建,密钥在主机 A 和主机 B 上将变为可用。主机 C 仍然禁用加密且没有虚拟机密钥。
- 假定您对每台主机都拥有
- 如果所有主机均未启用加密,并且您对主机 A 拥有 特权,则虚拟机创建过程会在该主机上启用主机加密。否则,将出现错误。
- 还可以使用 vSphere API 将集群的加密模式设置为“强制启用”。强制启用会使集群中的所有主机都加密“安全”,即 vCenter Server 在主机上安装了主机密钥。请参见《vSphere Web Services SDK 编程指南》。
磁盘空间要求
您对现有虚拟机进行加密时,至少需要虚拟机目前占用空间的两倍。