克隆加密虚拟机时,克隆将使用相同的密钥进行加密。要更改克隆的密钥,请使用 API 对克隆执行重新加密。请参见《vSphere Web Services SDK 编程指南》

可以在克隆期间执行以下操作。

  • 从未加密的虚拟机或模板虚拟机创建加密虚拟机。
  • 从加密虚拟机或模板虚拟机创建解密虚拟机。
  • 使用不同于源虚拟机的密钥重新加密目标虚拟机。

可以从加密虚拟机创建即时克隆虚拟机,但需注意,即时克隆与源虚拟机共享相同的密钥。无法重新加密源虚拟机或即时克隆虚拟机上的密钥。请参见《vSphere Web Services SDK 编程指南》

前提条件

  • 建立与 KMS 的可信连接并选择默认 KMS。
  • 创建加密存储策略,或使用捆绑的示例,虚拟机加密策略。
  • 所需特权:
    • 加密操作.克隆
    • 加密操作.加密
    • 加密操作.解密
    • 加密操作.重新加密
    • 如果未启用主机加密模式,则还必须拥有加密操作.注册主机特权。

过程

  1. vSphere Client清单中,浏览到虚拟机。
  2. 要创建加密虚拟机的克隆,请右键单击虚拟机,选择克隆 > 克隆到虚拟机,并按照提示操作。
    选项 操作
    选择名称和文件夹 指定克隆的名称和目标位置。
    选择计算资源 指定您拥有创建加密虚拟机特权的对象。请参见加密任务的必备条件和必需特权
    选择存储 选择虚拟磁盘格式菜单中做出选择,并选择数据存储。可以在克隆操作过程中更改存储策略。例如,从使用加密策略更改为使用非加密策略会对磁盘进行解密。
    选择克隆选项 《vSphere 虚拟机管理》文档中的论述,选择克隆选项。
    即将完成 检查信息,然后单击完成
  3. (可选) 更改克隆虚拟机的密钥。
    默认情况下,使用与父虚拟机相同的密钥来创建克隆虚拟机。最佳做法是更改克隆虚拟机的密钥,以确保多个虚拟机不会使用相同的密钥。
    1. 确定执行浅层重新加密还是深层重新加密。
      要使用不同的 DEK 和 KEK,请对克隆虚拟机执行深层重新加密。要使用不同的 KEK,请对克隆虚拟机执行浅层重新加密。要执行深层重新加密,必须关闭虚拟机电源。虚拟机打开电源时,如果虚拟机中存在快照,可以执行浅层重新加密操作。仅允许在单个快照分支(磁盘链)上对具有快照的加密虚拟机执行浅层重新加密。不支持多个快照分支。如果浅层重新加密在使用新 KEK 更新链中的所有链接之前失败,则仍然可以访问加密虚拟机(如果具有新旧 KEK)。
    2. 使用 API 对克隆执行重新加密。请参见《vSphere Web Services SDK 编程指南》