加密特权和角色

您可以为不需要加密操作特权的 vCenter Server 管理员分配无加密管理员角色。

要对用户可执行的操作施加更多的限制，可以克隆无加密管理员角色，然后创建仅具有部分加密操作特权的自定义角色。例如，您可以创建这样一个角色：它允许用户加密但不能解密虚拟机。请参见使用角色分配特权。

主机加密模式

主机加密模式确定 ESXi 主机是否已准备好接受加密材料以加密虚拟机和虚拟磁盘。必须启用主机加密模式，才能在主机上执行任何加密操作。主机加密模式通常在需要时自动启用，但可以将其明确启用。可从 vSphere Client 或通过 vSphere API 检查和明确设置当前主机加密模式。

启用主机加密模式时，vCenter Server 会在主机上安装主机密钥，这可确保主机是加密“安全”的。安装主机密钥后，可以继续执行其他加密操作，包括 vCenter Server 从密钥提供程序获取密钥并将其推送到 ESXi 主机。

在“安全”模式下，用户环境（即，hostd）和加密虚拟机会加密其核心转储。未加密虚拟机不会加密其核心转储。

有关加密核心转储以及 VMware 技术支持如何使用它们的详细信息，请参见位于 http://kb.vmware.com/kb/2147388 的 VMware 知识库文章。

有关说明，请参见 以显式方式启用主机加密模式。

主机加密模式启用后，不易禁用。请参见使用 API 禁用主机加密模式。

加密操作尝试启用主机加密模式时会自动更改。例如，假定您将加密虚拟机添加到独立主机。主机加密模式不会启用。如果您在主机上拥有所需的特权，则加密模式将自动更改为启用。

假设一个集群有三个 ESXi 主机，即主机 A、B 和 C。在主机 A 上创建一个加密虚拟机。发生的具体情况取决于几个要素。

• 如果主机 A、B 和 C 已经启用加密，您只需加密操作.加密新项特权即可创建虚拟机。
• 如果主机 A 和 B 已启用加密，而主机 C 未启用加密，则系统按照下面所述继续运行。
  • 假定您对每台主机都拥有加密操作.加密新项和加密操作.注册主机特权。在这种情况下，虚拟机创建过程会在主机 C 上启用加密。加密过程在主机 C 上启用主机加密模式，并将密钥推送到集群中的每台主机。

    对于这种情况，您也可以在主机 C 上明确启用主机加密。

  • 假定您对虚拟机或虚拟机文件夹仅拥有加密操作.加密新项特权。在这种情况下，虚拟机将成功创建，密钥在主机 A 和主机 B 上将变为可用。主机 C 仍然禁用加密且没有虚拟机密钥。
• 如果所有主机均未启用加密，并且您对主机 A 拥有加密操作.注册主机特权，则虚拟机创建过程会在该主机上启用主机加密。否则，将出现错误。
• 还可以使用 vSphere API 将集群的加密模式设置为“强制启用”。强制启用会使集群中的所有主机都加密“安全”，即 vCenter Server 在主机上安装了主机密钥。请参见《vSphere Web Services SDK 编程指南》。

磁盘空间要求

您对现有虚拟机进行加密时，至少需要虚拟机目前占用空间的两倍。