可以使用 CLI 对加密虚拟机执行浅层重新加密。您可能会出于业务或合规性原因对加密虚拟机执行重新加密。

浅层密钥(也称为重新加密)仅替换密钥加密密钥 (KEK)。要执行浅层重新加密,无需关闭加密虚拟机的电源。如果需要同时替换磁盘加密密钥 (DEK) 和 KEK,则必须执行深层重新加密。

此任务显示如何使用当前分配的密钥提供程序在加密虚拟机上执行重新加密。

有关概念的更多信息,请参见如何重新加密已加密的虚拟机

前提条件

所需特权:加密操作.重新加密

注: 配置了 IDE 控制器的虚拟机必须关闭电源,才能执行浅层重新加密操作。

过程

  1. 在 PowerCLI 会话中,运行 Connect-VIServer,以管理员身份连接到 vCenter Server 主机。
  2. 将当前密钥提供程序分配给变量。
    $kp = Get-KeyProvider keyprovider_name
  3. 将加密虚拟机分配给变量。
    $vm = Get-VM encrypted_vm_name
  4. 检查加密虚拟机的安全信息。
    Get-SecurityInfo -Entity $vm

    记录 EncryptionKeyId。

  5. 对加密虚拟机执行浅层重新加密。
    Set-VM -vm $vm -KeyProvider $kp

    键入 Y 以确认重新加密。

  6. 要验证 EncryptionKeyId 是否已更改,请检查加密虚拟机的安全信息。
    Get-SecurityInfo -Entity $vm