请查看以下虚拟机加密限制以避免以后遇到问题。
要了解哪些设备和功能不能与虚拟机加密结合使用,请参见虚拟机加密互操作性。
加密虚拟机限制
规划虚拟机加密策略时,请考虑以下限制。
- 克隆已加密虚拟机或执行 Storage vMotion 操作时,您可以尝试更改磁盘格式。此类转换不一定成功。例如,如果您克隆一个虚拟机并尝试将磁盘格式从延迟置零厚格式更改为精简置备格式,虚拟机磁盘将保持延迟置零厚格式。
- 从虚拟机分离磁盘时,该虚拟磁盘的存储策略信息不会保留。
- 如果虚拟磁盘已加密,则您必须将存储策略显式设置为虚拟机加密策略,或显式设置为包含加密的存储策略。
- 如果虚拟磁盘未加密,则您可以在将该磁盘添加到虚拟机时更改存储策略。
有关详细信息,请参见虚拟磁盘加密。
- 将虚拟机移动到其他集群之前,请解密核心转储。
vCenter Server 不会存储密钥服务器密钥,只会跟踪密钥 ID。因此,vCenter Server 不会持久存储 ESXi 主机密钥。但是,在 vSphere 7.0 Update 2 及更高版本中,即使对密钥服务器的访问中断,加密设备也可以正常工作。请参见ESXi 主机上的 vSphere 密钥持久性。
在某些情况下,例如当您将 ESXi 主机移动到其他集群并重新引导该主机时,vCenter Server 会为该主机分配新的主机密钥。您无法使用新的主机密钥解密任何现有的核心转储。
- 已加密虚拟机不支持 OVF 导出。
- 不支持使用 VMware Host Client 注册加密的虚拟机。
虚拟机锁定状态
如果虚拟机密钥或一个或多个虚拟磁盘密钥缺失,虚拟机将进入锁定状态。在锁定状态下,您无法执行虚拟机操作。
- 通过 vSphere Client 对虚拟机及其磁盘进行加密时,同一个密钥用于两者。
- 使用 API 执行加密时,您可以对虚拟机和磁盘使用不同的加密密钥。在这种情况下,如果您尝试打开虚拟机的电源,并且其中一个磁盘密钥缺失,则打开电源操作将失败。如果移除该虚拟磁盘,则您可以打开虚拟机的电源。
有关故障排除建议,请参见解决缺失加密密钥问题。