如果用户具有足够的特权来启用加密模式,则执行加密任务时会自动启用主机加密模式。启用主机加密模式之后,为了避免向技术支持人员发布敏感信息,会对所有核心转储进行加密。如果不再将虚拟机加密用于 ESXi 主机,则可禁用加密模式。

ESXi 主机启用加密模式后,您可能需要将其禁用。例如,您可能需要禁用加密模式才能生成 ESXi 支持包(使用 vm-support 命令)。当主机上存在密钥材料时,无法使用“禁用主机加密模式”开关(主机 > 配置 > 安全配置文件 > 编辑主机加密模式)。

通过调用 CryptoManagerHostDisable API 方法,可以使用 API 禁用主机加密模式。

ESXi 主机定义的加密模式或状态包括:

  • pendingIncapable:禁用主机加密,即主机无法执行 vSphere 虚拟机加密操作。
  • incapable:主机无法安全地接收敏感材料。
  • prepared:主机已准备好接收敏感材料,但尚未设置主机密钥。
  • safe:主机经过安全加密(已启用),并且已设置主机密钥,即可以执行 vSphere 虚拟机加密操作。

在主机上调用 CryptoManagerHostDisable 后,主机的加密状态将发生如下变化:

  • 如果原始主机加密状态为 incapable 或 prepared,则主机加密状态将更改为 incapable。
  • 如果原始主机加密状态为 safe,则主机加密状态将更改为 pendingIncapable。
  • 如果主机加密状态为 pendingIncapable,则主机加密状态仍为 pendingIncapable。

此任务显示如何使用 vCenter Server Managed Object Browser (MOB) 禁用主机加密模式。有关使用 API 的详细信息,请参见 vSphere Web Services API 文档,网址为 https://developer.vmware.com/apis/968/vsphere

过程

  1. 以管理员身份登录到 vCenter Server
  2. 从要禁用其加密模式的 ESXi 主机取消注册所有已加密的虚拟机。
  3. 访问 vCenter Server 上的 MOB。 
    https://vcenter_server/mob
  4. 在主机上调用 CryptoManagerHostDisable 方法。
    1. 在内容名称下,单击内容
    2. 在 rootFolder 下,单击 group-D1 (Datacenters)
    3. 在 childEntity 下,单击相应的数据中心。
    4. 在 hostFolder 下,单击相应的主机。
    5. 在 childEntity 下,单击相应的集群。
    6. 在主机下,单击相应的主机。
    7. 在 configManager 下,单击 configManager
    8. 在 cryptoManager 下,单击 CryptoManagerHost-number
    9. 单击 CryptoManagerHostDisable
      主机加密状态将更改为 pendingIncapable 或 incapable,具体取决于其原始加密状态。
  5. 对要禁用加密模式的其他主机重复步骤 4。
  6. 重新引导主机。

结果

禁用主机加密模式后,除非重新启用主机加密模式,否则无法执行加密操作,例如添加加密虚拟机。

注: 重新引导已禁用加密模式的 ESXi 主机后,如果主机加密状态最初为 pendingIncapable,则主机加密状态仍为 pendingIncapable。要重新启用主机加密模式,请重新访问 vCenter Server MOB 并调用 ConfigureCryptoKey API 方法。重新启用主机加密模式时,如果主机加密状态为 pendingIncapable,请使用原始主机密钥 ID。