VMware Fault Tolerance (FT) 可捕获主虚拟机上发生的输入和事件,然后将它们发送给在其他主机上运行的辅助虚拟机。

主虚拟机与辅助虚拟机之间的该日志记录通信是未加密的,且包含客户机网络和存储 I/O 数据以及客户机操作系统的内存内容。此通信可能包含敏感数据,如纯文本格式的密码。为避免这些数据被泄漏,尤其是避免受到“中间人”攻击,请确保此网络是受保护的。例如,对 FT 日志记录通信使用专用网络。您还可以对 FT 日志记录流量进行加密。

激活 Fault Tolerance 加密

您可以加密 Fault Tolerance 日志流量。

vSphere Fault Tolerance 会在主虚拟机和辅助虚拟机之间执行频繁检查,以便辅助虚拟机可以从上次成功的检查点快速恢复。检查点包含自上一检查点之后已修改的虚拟机状态。您可以加密 Fault Tolerance 日志流量。

打开 Fault Tolerance 时,FT 加密默认设置为视情况,这意味着只有在首选主机和辅助主机均能加密时,才激活加密。如果需要手动更改 FT 加密模式,请执行以下过程。

注: Fault Tolerance 支持 vSphere 7.0 Update 2 及更高版本的 vSphere 虚拟机加密。客户机内和基于阵列的加密不依赖或干扰虚拟机加密。具有多个加密层会使用其他计算资源,这可能会影响虚拟机性能。影响因硬件以及 I/O 的数量和类型而异,但对于大多数工作负载而言,整体性能影响可以忽略不计。去重、压缩和复制等后端存储功能的有效性和兼容性也可能会受到虚拟机加密的影响。

前提条件

FT 加密需要 SMP-FT。不支持对旧版 FT(记录/重放 FT)进行加密。

过程

  1. 选择虚拟机,然后选择编辑设置
  2. 虚拟机选项下,选择已加密 FT 下拉菜单。
  3. 选择以下选项之一:
    选项 描述
    已禁用 不启用加密 Fault Tolerance 日志记录。
    视情况 仅在双方均能加密时,才启用加密。允许 Fault Tolerance 虚拟机移动到不支持加密 Fault Tolerance 日志记录的 ESXi 主机。
    必需 选择同时支持加密 FT 日志记录的 Fault Tolerance 首选主机和辅助主机。
    注: 激活虚拟机加密后,FT 加密模式默认设置为 必需,且无法修改。

    当 FT 加密模式设置为必需时:

    • 启用 FT 后,将仅列出支持 FT 加密的主机以便放置 FT 辅助主机。
    • 只能在支持 FT 加密的主机上进行 FT 故障切换。
  4. 单击确定