如果用户拥有足够的特权,在用户执行加密任务时,将自动激活主机加密模式。激活主机加密模式之后,为了避免向技术支持人员发布敏感信息,会对所有核心转储进行加密。如果不再将虚拟机加密用于 ESXi 主机,则可停用加密模式。

ESXi 主机激活加密模式后,您可能需要将其停用。例如,您可能需要停用加密模式才能生成 ESXi 支持包(使用 vm-support 命令)。当主机上存在密钥材料时,无法使用主机加密模式切换(主机 > 配置 > 安全配置文件 > 编辑主机加密模式)。

通过调用 CryptoManagerHostDisable API 方法,可以使用 API 停用主机加密模式。

ESXi 主机定义的加密模式或状态包括:

  • pendingIncapable:停用主机加密,即主机无法执行 vSphere 虚拟机加密操作。
  • incapable:主机无法安全地接收敏感材料。
  • prepared:主机已准备好接收敏感材料,但尚未设置主机密钥。
  • Safe:主机经过安全加密(已激活),并设置主机密钥,即,可以执行 vSphere 虚拟机加密操作。

在主机上调用 CryptoManagerHostDisable 后,主机的加密状态将发生如下变化:

  • 如果原始主机加密状态为 incapable 或 prepared,则主机加密状态将更改为 incapable。
  • 如果原始主机加密状态为 safe,则主机加密状态将更改为 pendingIncapable。
  • 如果主机加密状态为 pendingIncapable,则主机加密状态仍为 pendingIncapable。

此任务显示如何使用 vCenter Server Managed Object Browser (MOB) 停用主机加密模式。有关使用 API 的详细信息,请参见 vSphere Web Services API 文档,网址为 https://developer.vmware.com/apis/968/vsphere

过程

  1. 以管理员身份登录到 vCenter Server
  2. 从要停用其加密模式的 ESXi 主机取消注册所有已加密的虚拟机。
  3. 访问 vCenter Server 上的 MOB。 
    https://vcenter_server/mob
  4. 在主机上调用 CryptoManagerHostDisable 方法。
    1. 在内容名称下,单击内容
    2. 在 rootFolder 下,单击 group-D1 (Datacenters)
    3. 在 childEntity 下,单击相应的数据中心。
    4. 在 hostFolder 下,单击相应的主机。
    5. 在 childEntity 下,单击相应的集群。
    6. 在主机下,单击相应的主机。
    7. 在 configManager 下,单击 configManager
    8. 在 cryptoManager 下,单击 CryptoManagerHost-number
    9. 单击 CryptoManagerHostDisable
      主机加密状态将更改为 pendingIncapable 或 incapable,具体取决于其原始加密状态。
  5. 对要停用加密模式的其他主机重复步骤 4。
  6. 重新引导主机。

结果

停用主机加密模式后,除非重新激活主机加密模式,否则无法执行加密操作,例如添加已加密虚拟机。

注: 重新引导已停用加密模式的 ESXi 主机后,如果主机加密状态最初为 pendingIncapable,则主机加密状态仍为 pendingIncapable。要重新激活主机加密模式,请重新访问 vCenter Server MOB 并调用 ConfigureCryptoKey API 方法。重新激活主机加密模式时,如果主机加密状态为 pendingIncapable,请使用原始主机密钥 ID。