某些加密任务的限制

在加密虚拟机上执行某些任务时，存在一些限制。

• 无法在已打开电源的虚拟机上执行大多数加密操作。必须关闭虚拟机电源。您可以克隆已加密虚拟机，还可以在虚拟机已打开电源时执行浅层重新加密。
• 无法在具有快照的虚拟机上执行深层重新加密。可以在具有快照的虚拟机上执行浅层重新加密。

虚拟可信平台模块设备和 vSphere 虚拟机加密

虚拟可信平台模块 (vTPM) 是物理可信平台模块 2.0 芯片的基于软件的表示形式。可以将 vTPM 添加到新虚拟机，也可以添加到现有虚拟机。要将 vTPM 添加到虚拟机，必须在 vSphere 环境中配置密钥提供程序。配置 vTPM 时，将对虚拟机的“主”文件（内存交换、NVRAM 文件等）进行加密。磁盘文件或 VMDK 文件不会自动加密。可以选择为虚拟机磁盘明确添加加密。

vSphere 虚拟机加密以及挂起状态和快照

可以从加密虚拟机的挂起状态恢复，也可以恢复到加密虚拟机的内存快照。可以在 ESXi 主机之间迁移具有内存快照且处于挂起状态的加密虚拟机。

vSphere 虚拟机加密和 IPv6

可以将 vSphere 虚拟机加密与纯 IPv6 模式或混合模式结合使用。可以为密钥服务器配置 IPv6 地址。可以为 vCenter Server 和密钥服务器仅配置 IPv6 地址。

vSphere 虚拟机加密中的克隆限制

vSphere 虚拟机加密不支持的磁盘配置

某些类型的虚拟机磁盘配置不支持 vSphere 虚拟机加密。

• RDM（裸设备映射）。但是，支持 vSphere Virtual Volumes (vVols)。
• 多写入程序或共享磁盘（MSCS、WSFC 或 Oracle RAC）。多写入器磁盘支持加密虚拟机的“主”文件。多写入器磁盘不支持加密虚拟磁盘。如果尝试在具有加密虚拟磁盘的虚拟机的编辑设置页面中选择“多写入器”，则会取消激活确定按钮。

vSphere 虚拟机加密中的其他限制

无法与 vSphere 虚拟机加密配合使用的其他功能包括：

• vSphere ESXi Dump Collector
• 内容库
  • 内容库支持两种类型的模板，即 OVF 模板类型和虚拟机模板类型。无法将加密虚拟机导出为 OVF 模板类型。OVF Tool 不支持加密虚拟机。可以使用虚拟机模板类型创建加密虚拟机模板。请参见《vSphere 虚拟机管理》文档。
• 用于备份加密虚拟磁盘的软件必须使用 VMware vSphere Storage API - Data Protection (VADP) 在热添加模式或启用了 SSL 的 NBD 模式下备份磁盘。但是，并非所有使用 VADP 进行虚拟磁盘备份的备份解决方案都受支持。有关详细信息，请咨询您的备份供应商。
  • 不支持使用 VADP SAN 传输模式解决方案备份加密虚拟磁盘。
  • 加密虚拟磁盘支持 VADP 热添加解决方案。备份软件必须支持对在热添加备份工作流中使用的代理虚拟机进行加密。供应商必须具有加密操作.加密虚拟机特权。
  • 备份加密虚拟磁盘时，支持使用 NBD-SSL 传输模式的备份解决方案。供应商应用程序必须具有加密操作.直接访问特权。
• 无法将已加密虚拟机的输出发送到串行端口或并行端口。即使配置看起来成功，输出也会发送到文件。
• VMware Cloud on AWS 不支持 vSphere 虚拟机加密。请参见《管理 VMware Cloud on AWS 数据中心》文档。