vSphere 虚拟机加密在可与之进行交互的设备和功能方面具有一些限制。
以下限制和备注适用于使用 vSphere 虚拟机加密的情况。有关使用 vSAN 加密的类似信息,请参见《管理 VMware vSAN》文档。
某些加密任务的限制
在加密虚拟机上执行某些任务时,存在一些限制。
- 无法在已打开电源的虚拟机上执行大多数加密操作。必须关闭虚拟机电源。您可以克隆已加密虚拟机,还可以在虚拟机已打开电源时执行浅层重新加密。
- 无法在具有快照的虚拟机上执行深层重新加密。可以在具有快照的虚拟机上执行浅层重新加密。
虚拟可信平台模块设备和 vSphere 虚拟机加密
虚拟可信平台模块 (vTPM) 是物理可信平台模块 2.0 芯片的基于软件的表示形式。可以将 vTPM 添加到新虚拟机,也可以添加到现有虚拟机。要将 vTPM 添加到虚拟机,必须在 vSphere 环境中配置密钥提供程序。配置 vTPM 时,将对虚拟机的“主”文件(内存交换、NVRAM 文件等)进行加密。磁盘文件或 VMDK 文件不会自动加密。可以选择为虚拟机磁盘明确添加加密。
小心: 克隆虚拟机将复制整个虚拟机,包括 vTPM 等虚拟设备。存储在 vTPM 中的信息(包括软件可用于确定系统身份的 vTPM 属性)也会进行复制。
vSphere 虚拟机加密以及挂起状态和快照
可以从加密虚拟机的挂起状态恢复,也可以恢复到加密虚拟机的内存快照。可以在 ESXi 主机之间迁移具有内存快照且处于挂起状态的加密虚拟机。
vSphere 虚拟机加密和 IPv6
可以将 vSphere 虚拟机加密与纯 IPv6 模式或混合模式结合使用。可以为密钥服务器配置 IPv6 地址。可以为 vCenter Server 和密钥服务器仅配置 IPv6 地址。
vSphere 虚拟机加密中的克隆限制
某些克隆功能无法与
vSphere 虚拟机加密配合工作。
- 对于标准密钥提供程序,有条件地支持克隆。
-
支持完整克隆。克隆将继承父加密状态,包括密钥。可以加密完整克隆,重新加密完整克隆以使用新密钥,或解密完整克隆。
支持链接克隆。克隆将继承父加密状态,包括密钥。无法解密链接克隆或使用其他密钥重新加密链接克隆。
注: 验证其他应用程序是否支持链接克隆。例如,VMware Horizon ® 7 支持完整克隆和即时克隆,但不支持链接克隆。
-
- 对于可信密钥提供程序或 vSphere Native Key Provider,支持克隆,但无法在克隆时更改加密密钥。此行为与标准加密不同,后者可以在创建克隆更改密钥。在克隆虚拟机时,vSphere Trust Authority 或 vSphere Native Key Provider 不支持以下操作:
- 从未加密的虚拟机克隆为加密虚拟机
- 从加密虚拟机克隆并更改加密密钥
- 从加密的虚拟机克隆为未加密虚拟机
- 所有密钥提供程序类型均支持即时克隆,但您无法更改克隆上的加密密钥。
vSphere 虚拟机加密不支持的磁盘配置
某些类型的虚拟机磁盘配置不支持 vSphere 虚拟机加密。
- RDM(裸设备映射)。但是,支持 vSphere Virtual Volumes (vVols)。
- 多写入程序或共享磁盘(MSCS、WSFC 或 Oracle RAC)。多写入器磁盘支持加密虚拟机的“主”文件。多写入器磁盘不支持加密虚拟磁盘。如果尝试在具有加密虚拟磁盘的虚拟机的编辑设置页面中选择“多写入器”,则会取消激活确定按钮。
vSphere 虚拟机加密中的其他限制
无法与 vSphere 虚拟机加密配合使用的其他功能包括:
- vSphere ESXi Dump Collector
- 内容库
- 内容库支持两种类型的模板,即 OVF 模板类型和虚拟机模板类型。无法将加密虚拟机导出为 OVF 模板类型。OVF Tool 不支持加密虚拟机。可以使用虚拟机模板类型创建加密虚拟机模板。请参见《vSphere 虚拟机管理》文档。
- 用于备份加密虚拟磁盘的软件必须使用 VMware vSphere Storage API - Data Protection (VADP) 在热添加模式或启用了 SSL 的 NBD 模式下备份磁盘。但是,并非所有使用 VADP 进行虚拟磁盘备份的备份解决方案都受支持。有关详细信息,请咨询您的备份供应商。
- 不支持使用 VADP SAN 传输模式解决方案备份加密虚拟磁盘。
- 加密虚拟磁盘支持 VADP 热添加解决方案。备份软件必须支持对在热添加备份工作流中使用的代理虚拟机进行加密。供应商必须具有 特权。
- 备份加密虚拟磁盘时,支持使用 NBD-SSL 传输模式的备份解决方案。供应商应用程序必须具有 特权。
- 无法将已加密虚拟机的输出发送到串行端口或并行端口。即使配置看起来成功,输出也会发送到文件。
- VMware Cloud on AWS 不支持 vSphere 虚拟机加密。请参见《管理 VMware Cloud on AWS 数据中心》文档。