加密 vSphere vMotion 可保证使用 vSphere vMotion 传输的数据的保密性、完整性和真实性。vSphere 支持在 vCenter Server 实例之间对未加密的虚拟机和加密虚拟机执行加密 vMotion。

vSphere vMotion 在迁移加密虚拟机时始终使用加密。对于未加密虚拟机,您可以选择加密 vSphere vMotion 选项之一。

加密 vSphere vMotion 中加密的内容

对于加密磁盘,在所有情况下,数据都进行加密传输。对于未加密磁盘,将具有以下情况:
  • 如果在主机内传输磁盘数据,即不更改主机,仅更改数据存储,则传输未加密。
  • 如果在主机之间传输磁盘数据并使用加密 vMotion,则传输将加密。如果未使用加密 vMotion,则传输未加密。

对于加密的虚拟机,使用 vSphere vMotion 迁移时始终使用加密 vSphere vMotion。您无法为加密虚拟机关闭加密 vSphere vMotion。

未加密虚拟机的加密 vSphere vMotion 状态

对于未加密的虚拟机,您可以将加密 vSphere vMotion 设置为以下状态之一。默认状态为“视情况”。
已禁用
不使用加密 vSphere vMotion。
视情况
如果源主机和目标主机都支持,则可以使用加密 vSphere vMotion。只有 6.5 及更高版本的 ESXi 主机支持加密 vSphere vMotion。
必需
仅允许加密 vSphere vMotion。如果源主机或目标主机不支持加密 vSphere vMotion,则不允许使用 vSphere vMotion 进行迁移。

加密虚拟机时,虚拟机会记录加密 vSphere vMotion 的当前设置。如果您稍后停用虚拟机加密,则在您明确更改设置之前,加密 vMotion 设置将保持为“必需”。您可以使用编辑设置进行设置更改。

注: 目前,必须使用 vSphere API 在 vCenter Server 实例之间迁移或克隆加密虚拟机。请参见 《vSphere Web Services SDK 编程指南》《vSphere Web Services API 参考》

vCenter Server 实例之间迁移或克隆加密虚拟机

vSphere vMotion 支持在 vCenter Server 实例之间迁移和克隆加密虚拟机。

vCenter Server 实例之间迁移或克隆加密虚拟机时,必须将源和目标 vCenter Server 实例配置为共享用于对虚拟机进行加密的密钥提供程序。此外,源和目标 vCenter Server 实例上的密钥提供程序名称也必须相同,它们具有以下特征。

  • 标准密钥提供程序:该密钥提供程序中的密钥服务器必须相同。
  • 可信密钥提供程序:目标主机上必须配置相同的 vSphere Trust Authority 服务。
  • vSphere Native Key Provider:必须具有相同的 KDK。
    注: 无论源主机是否位于集群中,都无法将使用 vSphere Native Key Provider 加密的虚拟机克隆或迁移到独立主机。

目标 vCenter Server 确保目标 ESXi 主机已设置加密模式,从而确保主机可通过加密保障安全。

使用 vSphere vMotion 在 vCenter Server 实例之间迁移或克隆加密虚拟机时,需要具备以下特权。

  • 迁移:加密操作.迁移(在虚拟机上)
  • 克隆:加密操作.克隆(在虚拟机上)

此外,目标 vCenter Server 还必须具有加密操作.加密新项特权。如果目标 ESXi 主机未处于“安全”模式,则目标 vCenter Server 也必须具有加密操作.注册主机特权。

在同一 vCenter Server 或跨 vCenter Server 实例迁移虚拟机(未加密或加密)时,不允许执行某些任务。

  • 不能更改虚拟机存储策略。
  • 不能执行密钥更改。
注: 可以在克隆虚拟机时更改虚拟机存储策略。

vCenter Server 实例之间迁移或克隆加密虚拟机的最低要求

使用 vSphere vMotion 在 vCenter Server 实例之间迁移或克隆标准密钥提供程序加密虚拟机的最低版本要求:

  • 源和目标 vCenter Server 实例都必须为 7.0 或更高版本。
  • 源和目标 ESXi 主机都必须为 6.7 或更高版本。

使用 vSphere vMotion 在 vCenter Server 实例之间迁移或克隆可信密钥提供程序加密虚拟机的最低版本要求:

  • 必须为目标主机配置 vSphere Trust Authority 服务,且目标主机必须已证明。
  • 迁移时无法更改加密。例如,将虚拟机迁移到新存储时,无法加密未加密的磁盘。
  • 可以将标准加密虚拟机迁移到受信任主机。源和目标 vCenter Server 实例上的密钥提供程序名称必须相同。
  • 无法将 vSphere Trust Authority 加密虚拟机迁移到非受信任主机。

可信密钥提供程序 vMotion 和跨 vCenter Server vMotion

可信密钥提供程序完全支持跨 ESXi 主机 vMotion

支持跨 vCenter Server vMotion,但具有以下限制。

  1. 必须在目标主机上配置所需的可信服务,且目标主机必须已证明。
  2. 迁移时无法更改加密。例如,将虚拟机迁移到新存储时,无法加密磁盘。

执行跨 vCenter Server vMotion 时,vCenter Server 会检查可信密钥提供程序在目标主机上是否可用,以及主机是否有权访问该密钥提供程序。

vSphere Native Key Provider vMotion 和跨 vCenter Server vMotion

vSphere Native Key Provider 支持跨 ESXi 主机 vMotion 和加密 vMotion如果在目标主机上配置了 vSphere Native Key Provider,则支持跨 vCenter Server vMotion。

如何在虚拟机上激活加密 vSphere vMotion

您可以在创建虚拟机期间激活加密vSphere vMotion。稍后可从虚拟机设置中更改加密 vMotion 状态。只能更改未加密的虚拟机的加密 vMotion 状态。

有关虚拟机加密的详细信息,请参见什么是加密 vSphere vMotion

前提条件

只有 vSphere 6.5 以及更高版本支持加密 vMotion。

过程

  1. 右键单击虚拟机,然后选择编辑设置
  2. 选择虚拟机选项
  3. 单击加密,从加密 vMotion 下列菜单中选择某个选项。
    已禁用

    请勿使用加密 vMotion。

    视情况

    如果源和目标主机都支持,则可以使用加密 vMotion。只有 6.5 及更高版本的 ESXi 主机支持加密 vMotion。

    必需

    仅允许加密 vMotion。如果源或目标主机不支持加密 vMotion,通过 vMotion 迁移将失败。