克隆的加密虚拟机使用相同的密钥进行加密,除非您更改密钥。要更改密钥,可以使用 vSphere Client、PowerCLI 或 API。如果使用 PowerCLI 或 API,则可以在一个步骤中克隆加密的虚拟机并更改密钥。
可以在克隆期间执行以下操作。
- 从未加密的虚拟机或模板虚拟机创建加密虚拟机。
- 从加密虚拟机或模板虚拟机创建解密虚拟机。
- 使用不同于源虚拟机的密钥重新加密目标虚拟机。
- 在 vSphere 8.0 及更高版本中,对具有 vTPM 的虚拟机选择替换选项时,会以新的空白 vTPM 开始,该 vTPM 将获得自己的密钥和身份。
注: vSphere 8.0 及更高版本包含
vpxd.clone.tpmProvisionPolicy 高级设置,可将 vTPM 的默认克隆行为设置为“替换”。
可以从加密虚拟机创建即时克隆虚拟机,但需注意,即时克隆与源虚拟机共享相同的密钥。无法重新加密源虚拟机或即时克隆虚拟机上的密钥。
要使用 API 克隆加密计算机,请参见《vSphere Web Services SDK 编程指南》。
前提条件
- 必须配置并启用密钥提供程序。
- 创建加密存储策略,或使用捆绑的示例,虚拟机加密策略。
- 所需特权(适用于所有密钥提供程序):
- 如果未启用主机加密模式,还必须拥有 特权。