克隆加密虚拟机时,克隆将使用相同的密钥进行加密。要更改克隆的密钥,请使用 API 对克隆执行重新加密。有关详细信息,请参见《vSphere Web Services SDK 编程指南》

可以在克隆期间执行以下操作。
  • 从未加密的虚拟机或虚拟机模板创建加密虚拟机。
  • 从加密虚拟机或虚拟机模板创建解密虚拟机。
  • 使用不同于源虚拟机的密钥重新加密目标虚拟机。
可以从加密虚拟机创建即时克隆虚拟机,但需注意,即时克隆与源虚拟机共享相同的密钥。无法重新加密源虚拟机或即时克隆虚拟机上的密钥。请参见 《vSphere Web Services SDK 编程指南》

前提条件

  • 建立与 KMS 的可信连接并选择默认 KMS。
  • 创建加密存储策略,或使用捆绑的示例,虚拟机加密策略。
  • 所需特权:
    • 加密操作.克隆
    • 加密操作.加密
    • 加密操作.解密
    • 加密操作.重新加密
    • 如果主机加密模式不是已启用,则您还必须具有加密操作.注册主机特权。

过程

  1. vSphere Client清单中,导航到虚拟机。
  2. 右键单击虚拟机,然后选择克隆 > 克隆到虚拟机 >
  3. 浏览向导的各个页面。
    选择名称和文件夹 输入名称,然后选择要在其中进行部署的数据中心或文件夹。
    选择计算资源 选择您拥有创建加密虚拟机特权的对象。有关加密任务的必备条件和所需特权的信息,请参见《vSphere 安全性》文档。
    选择存储 选择用于存储模板配置文件和所有虚拟磁盘的数据存储或数据存储集群。可以在克隆操作过程中更改存储策略。例如,从使用加密策略更改为使用非加密策略会对磁盘进行解密。
    选择克隆选项 选择其他自定义选项。
    即将完成 查看并单击完成
  4. (可选) 更改克隆虚拟机的密钥。
    默认情况下,使用与父虚拟机相同的密钥来创建克隆虚拟机。最佳做法是更改克隆虚拟机的密钥,以确保多个虚拟机不会使用相同的密钥。