vSphere 虚拟机加密在可与之进行交互的设备和功能方面具有一些限制。

以下限制和备注适用于使用 vSphere 虚拟机加密的情况。有关使用 vSAN 加密的类似信息,请参见《管理 VMware vSAN》文档。

某些加密任务的限制

在加密虚拟机上执行某些任务时,存在一些限制。

  • 对于大多数虚拟机加密操作,必须关闭虚拟机电源。您可以克隆已加密虚拟机,还可以在虚拟机已打开电源时执行浅层重新加密。
    注: 配置了 IDE 控制器的虚拟机必须关闭电源,才能执行浅层重新加密操作。
  • 无法在具有快照的虚拟机上执行深层重新加密。可以在具有快照的虚拟机上执行浅层重新加密。

虚拟可信平台模块设备和 vSphere 虚拟机加密

虚拟可信平台模块 (vTPM) 是物理可信平台模块 2.0 芯片的基于软件的表示形式。可以将 vTPM 添加到新虚拟机,也可以添加到现有虚拟机。要将 vTPM 添加到虚拟机,必须在 vSphere 环境中配置密钥提供程序。配置 vTPM 时,将对虚拟机的“主”文件(内存交换、NVRAM 文件等)进行加密。磁盘文件或 VMDK 文件不会自动加密。可以选择为虚拟机磁盘明确添加加密。

小心: 克隆虚拟机将复制整个虚拟机,包括 vTPM 等虚拟设备。存储在 vTPM 中的信息(包括软件可用于确定系统身份的 vTPM 属性)也会进行复制。

在 vSphere 8.0 及更高版本中,克隆包含 vTPM 的虚拟机时,可以选择从新的空白 vTPM 开始,该 vTPM 会获取自己的密钥和身份。

vSphere 虚拟机加密以及挂起状态和快照

可以从加密虚拟机的挂起状态恢复,也可以恢复到加密虚拟机的内存快照。可以在 ESXi 主机之间迁移具有内存快照且处于挂起状态的加密虚拟机。

vSphere 虚拟机加密和 IPv6

可以将 vSphere 虚拟机加密与纯 IPv6 模式或混合模式结合使用。可以为密钥服务器配置 IPv6 地址。可以为 vCenter Server 和密钥服务器仅配置 IPv6 地址。

vSphere 虚拟机加密中的克隆限制

对于所有密钥提供程序类型,支持克隆需要满足一定的条件。您可以在克隆时更改加密密钥。某些克隆功能无法与 vSphere 虚拟机加密配合工作。
  • 支持完整克隆。克隆将继承父加密状态,包括密钥。可以加密完整克隆,重新加密完整克隆以使用新密钥,或解密完整克隆。

    支持链接克隆。克隆将继承父加密状态,包括密钥。无法解密链接克隆或使用其他密钥重新加密链接克隆。

    注: 验证其他应用程序是否支持链接克隆。例如,VMware Horizon ® 7 支持完整克隆和即时克隆,但不支持链接克隆。
  • 所有密钥提供程序类型均支持即时克隆,但您无法更改克隆上的加密密钥。
  • 您可以从加密的虚拟机创建链接的克隆虚拟机。链接的克隆虚拟机包含相同的密钥。您可以对链接克隆的加密虚拟机“主页”文件重新加密,但无法对磁盘重新加密。

vSphere Native Key Provider 的限制

vSphere Native Key Provider 不支持某些操作。

  • 无法使用 vSphere Native Key Provider 加密独立主机上的虚拟机。主机必须位于集群中才能使用 vSphere Native Key Provider。
  • 无法将包含使用 vSphere Native Key Provider 加密的虚拟机的主机移至其他集群,除非目标集群包含相同的 vSphere Native Key Provider。(当加密密钥不存在且目标集群不具有相同的 vSphere Native Key Provider 时,已移动主机上的加密虚拟机将被锁定。)
  • 由于不支持 vSphere Native Key Provider,无法将 vSphere Native Key Provider 加密的虚拟机注册到旧版主机。
  • 由于要求独立主机位于集群中,无法将 vSphere Native Key Provider 加密的虚拟机注册到独立主机。

vSphere 虚拟机加密不支持的磁盘配置

某些类型的虚拟机磁盘配置不支持 vSphere 虚拟机加密

  • RDM(裸设备映射)。但是,支持 vSphere Virtual Volumes (vVols)。
  • 多写入程序或共享磁盘(MSCS、WSFC 或 Oracle RAC)。多写入器磁盘支持加密虚拟机的“主”文件。多写入器磁盘不支持加密虚拟磁盘。如果尝试在具有加密虚拟磁盘的虚拟机的编辑设置页面中选择“多写入器”,则会取消激活确定按钮。

vSphere 虚拟机加密中的其他限制

无法与 vSphere 虚拟机加密配合使用的其他功能包括。

  • vSphere ESXi Dump Collector
  • 内容库
    • 内容库支持两种类型的模板,即 OVF 模板类型和虚拟机模板类型。无法将加密虚拟机导出为 OVF 模板类型。OVF Tool 不支持加密虚拟机。可以使用虚拟机模板类型创建加密虚拟机模板。在 vSphere 8.0 及更高版本中,ovftool 命令包含将 vTPM 占位符添加到 OVF 描述符文件的选项。从此类模板部署虚拟机时,vCenter Server 在目标虚拟机上创建具有唯一密钥的 vTPM。请参见《vSphere 虚拟机管理》文档。
  • 用于备份加密虚拟磁盘的软件必须使用 VMware vSphere Storage API - Data Protection (VADP) 在热添加模式或启用了 SSL 的 NBD 模式下备份磁盘。但是,并非所有使用 VADP 进行虚拟磁盘备份的备份解决方案都受支持。有关详细信息,请咨询您的备份供应商。
    • 不支持使用 VADP SAN 传输模式解决方案备份加密虚拟磁盘。
    • 加密虚拟磁盘支持 VADP 热添加解决方案。备份软件必须支持对在热添加备份工作流中使用的代理虚拟机进行加密。供应商必须具有加密操作.加密虚拟机特权。
    • 备份加密虚拟磁盘时,支持使用 NBD-SSL 传输模式的备份解决方案。供应商应用程序必须具有加密操作.直接访问特权。
  • 无法将已加密虚拟机的输出发送到串行端口或并行端口。即使配置看起来成功,输出也会发送到文件。
  • VMware Cloud on AWS 不支持 vSphere 虚拟机加密。请参见《管理 VMware Cloud on AWS 数据中心》文档。