只有在包含 vCenter Server 的环境中才能执行虚拟机加密任务。此外,ESXi 主机必须为大多数加密任务激活加密模式。执行任务的用户必须拥有相应的特权。一组加密操作特权可实现精细控制。如果虚拟机加密任务要求更改为主机加密模式,则需要额外的特权。
使用加密特权和角色
- 添加加密操作特权。
您可以为不需要加密操作特权的 vCenter Server 管理员分配无加密管理员角色。
要对用户可执行的操作施加更多的限制,可以克隆无加密管理员角色,然后创建仅具有部分加密操作特权的自定义角色。例如,您可以创建这样一个角色:它允许用户加密但不能解密虚拟机。请参见使用 vCenter Server 角色分配特权。
什么是主机加密模式
主机加密模式确定 ESXi 主机是否已准备好接受加密材料以加密虚拟机和虚拟磁盘。在主机上执行任何加密操作之前,必须先激活加密模式。主机加密模式通常在需要时自动设置,但可以明确设置此模式。可从 vSphere Client 或通过 vSphere API 检查和明确设置当前主机加密模式。
激活主机加密模式时,vCenter Server 会在主机上安装主机密钥,这样可确保主机通过加密保障安全。安装主机密钥后,可以继续执行其他加密操作,包括 vCenter Server 从密钥提供程序获取密钥并将其推送到 ESXi 主机。
在“安全”模式下,用户环境(即,hostd)和加密虚拟机会加密其核心转储。未加密虚拟机不会加密其核心转储。
有关已加密核心转储以及 VMware 技术支持如何使用已加密核心转储的详细信息,请参见 VMware 知识库文章,网址为 https://kb.vmware.com/s/article/2147388。
有关说明,请参见 明确激活主机加密模式。
设置主机加密模式后,无法轻易停用。请参见使用 API 停用主机加密模式。
当加密操作尝试设置主机加密模式时,会自动进行更改。例如,假定您将加密虚拟机添加到独立主机。未设置主机加密模式。如果在主机上具有所需特权,则会自动设置加密模式。
假设一个集群有三个 ESXi 主机,即主机 A、B 和 C。在主机 A 上创建一个加密虚拟机。发生的具体情况取决于几个要素。
- 如果主机 A、B 和 C 已经设置主机加密模式,您只需 特权即可创建虚拟机。
- 如果主机 A 和 B 已设置主机加密,而主机 C 未设置主机加密,则系统按照下面所述继续运行。
- 假定您对每台主机都拥有
对于这种情况,您还可以在主机 C 上明确设置主机加密模式。
和 特权。在这种情况下,加密过程会在主机 C 上设置主机加密模式,并将密钥推送到集群中的每个主机。 - 假定您对虚拟机或虚拟机文件夹仅拥有 特权。在这种情况下,虚拟机将成功创建,密钥在主机 A 和主机 B 上将变为可用。主机 C 仍然停用加密且没有虚拟机密钥。
- 假定您对每台主机都拥有
- 如果所有主机均未设置主机加密模式,并且您对主机 A 拥有 特权,则虚拟机创建过程会在该主机上设置主机加密。否则,主机 B 和 C 会出现错误。
- 还可以使用 vSphere API 将集群的加密模式设置为“强制启用”。强制启用会使集群中的所有主机都加密“安全”,即 vCenter Server 在主机上安装了主机密钥。请参见《vSphere Web Services SDK 编程指南》。
加密虚拟机时的磁盘空间要求
您对现有虚拟机进行加密时,至少需要虚拟机目前占用空间的两倍。