使用加密特权和角色

您可以为不需要加密操作特权的 vCenter Server 管理员分配无加密管理员角色。

要对用户可执行的操作施加更多的限制，可以克隆无加密管理员角色，然后创建仅具有部分加密操作特权的自定义角色。例如，您可以创建这样一个角色：它允许用户加密但不能解密虚拟机。请参见使用 vCenter Server 角色分配特权。

什么是主机加密模式

主机加密模式确定 ESXi 主机是否已准备好接受加密材料以加密虚拟机和虚拟磁盘。在主机上执行任何加密操作之前，必须先激活加密模式。主机加密模式通常在需要时自动设置，但可以明确设置此模式。可从 vSphere Client 或通过 vSphere API 检查和明确设置当前主机加密模式。

激活主机加密模式时，vCenter Server 会在主机上安装主机密钥，这样可确保主机通过加密保障安全。安装主机密钥后，可以继续执行其他加密操作，包括 vCenter Server 从密钥提供程序获取密钥并将其推送到 ESXi 主机。

在“安全”模式下，用户环境（即，hostd）和加密虚拟机会加密其核心转储。未加密虚拟机不会加密其核心转储。

有关已加密核心转储以及 VMware 技术支持如何使用已加密核心转储的详细信息，请参见 VMware 知识库文章，网址为 https://kb.vmware.com/s/article/2147388。

有关说明，请参见 明确激活主机加密模式。

设置主机加密模式后，无法轻易停用。请参见使用 API 停用主机加密模式。

当加密操作尝试设置主机加密模式时，会自动进行更改。例如，假定您将加密虚拟机添加到独立主机。未设置主机加密模式。如果在主机上具有所需特权，则会自动设置加密模式。

假设一个集群有三个 ESXi 主机，即主机 A、B 和 C。在主机 A 上创建一个加密虚拟机。发生的具体情况取决于几个要素。

• 如果主机 A、B 和 C 已经设置主机加密模式，您只需加密操作.加密新项特权即可创建虚拟机。
• 如果主机 A 和 B 已设置主机加密，而主机 C 未设置主机加密，则系统按照下面所述继续运行。
  • 假定您对每台主机都拥有加密操作.加密新项和加密操作.注册主机特权。在这种情况下，加密过程会在主机 C 上设置主机加密模式，并将密钥推送到集群中的每个主机。

    对于这种情况，您还可以在主机 C 上明确设置主机加密模式。

  • 假定您对虚拟机或虚拟机文件夹仅拥有加密操作.加密新项特权。在这种情况下，虚拟机将成功创建，密钥在主机 A 和主机 B 上将变为可用。主机 C 仍然停用加密且没有虚拟机密钥。
• 如果所有主机均未设置主机加密模式，并且您对主机 A 拥有加密操作.注册主机特权，则虚拟机创建过程会在该主机上设置主机加密。否则，主机 B 和 C 会出现错误。
• 还可以使用 vSphere API 将集群的加密模式设置为“强制启用”。强制启用会使集群中的所有主机都加密“安全”，即 vCenter Server 在主机上安装了主机密钥。请参见《vSphere Web Services SDK 编程指南》。

加密虚拟机时的磁盘空间要求

您对现有虚拟机进行加密时，至少需要虚拟机目前占用空间的两倍。