加密 vSphere vMotion 可保证使用 vSphere vMotion 传输的数据的保密性、完整性和真实性。vSphere 支持在 vCenter Server 实例之间对未加密的虚拟机和加密虚拟机执行加密 vMotion。
vSphere vMotion 在迁移加密虚拟机时始终使用加密。对于未加密虚拟机,您可以选择加密 vSphere vMotion 选项之一。
加密 vSphere vMotion 中加密的内容
- 如果在主机内传输磁盘数据,即不更改主机,仅更改数据存储,则传输未加密。
- 如果在主机之间传输磁盘数据并使用加密 vMotion,则传输将加密。如果未使用加密 vMotion,则传输未加密。
对于加密的虚拟机,使用 vSphere vMotion 迁移时始终使用加密 vSphere vMotion。您无法为加密虚拟机关闭加密 vSphere vMotion。
未加密虚拟机的加密 vSphere vMotion 状态
加密虚拟机时,虚拟机会记录加密 vSphere vMotion 的当前设置。如果您稍后停用虚拟机加密,则在您明确更改设置之前,加密 vMotion 设置将保持为“必需”。您可以使用编辑设置进行设置更改。
在 vCenter Server 实例之间迁移或克隆加密虚拟机
vSphere vMotion 支持在 vCenter Server 实例之间迁移和克隆加密虚拟机。
在 vCenter Server 实例之间迁移或克隆加密虚拟机时,必须将源和目标 vCenter Server 实例配置为共享用于对虚拟机进行加密的密钥提供程序。此外,源和目标 vCenter Server 实例上的密钥提供程序名称也必须相同,它们具有以下特征。
- 标准密钥提供程序:该密钥提供程序中的密钥服务器必须相同。
- 可信密钥提供程序:目标主机上必须配置相同的 vSphere Trust Authority 服务。
- vSphere Native Key Provider:必须具有相同的 KDK。
注: 无论源主机是否位于集群中,都无法将使用 vSphere Native Key Provider 加密的虚拟机克隆或迁移到独立主机。
目标 vCenter Server 确保目标 ESXi 主机已设置加密模式,从而确保主机可通过加密保障安全。
使用 vSphere vMotion 在 vCenter Server 实例之间迁移或克隆加密虚拟机时,需要具备以下特权。
- 迁移: (在虚拟机上)
- 克隆: (在虚拟机上)
此外,目标 vCenter Server 还必须具有 特权。如果目标 ESXi 主机未处于“安全”模式,则目标 vCenter Server 也必须具有 特权。
在同一 vCenter Server 或跨 vCenter Server 实例迁移虚拟机(未加密或加密)时,不允许执行某些任务。
- 不能更改虚拟机存储策略。
- 不能执行密钥更改。
在 vCenter Server 实例之间迁移或克隆加密虚拟机的最低要求
使用 vSphere vMotion 在 vCenter Server 实例之间迁移或克隆标准密钥提供程序加密虚拟机的最低版本要求:
- 源和目标 vCenter Server 实例都必须为 7.0 或更高版本。
- 源和目标 ESXi 主机都必须为 6.7 或更高版本。
使用 vSphere vMotion 在 vCenter Server 实例之间迁移或克隆可信密钥提供程序加密虚拟机的最低版本要求:
- 必须为目标主机配置 vSphere Trust Authority 服务,且目标主机必须已证明。
- 迁移时无法更改加密。例如,将虚拟机迁移到新存储时,无法加密未加密的磁盘。
- 可以将标准加密虚拟机迁移到受信任主机。源和目标 vCenter Server 实例上的密钥提供程序名称必须相同。
- 无法将 vSphere Trust Authority 加密虚拟机迁移到非受信任主机。
可信密钥提供程序 vMotion 和跨 vCenter Server vMotion
可信密钥提供程序完全支持跨 ESXi 主机 vMotion
支持跨 vCenter Server vMotion,但具有以下限制。
- 必须在目标主机上配置所需的可信服务,且目标主机必须已证明。
- 迁移时无法更改加密。例如,将虚拟机迁移到新存储时,无法加密磁盘。
执行跨 vCenter Server vMotion 时,vCenter Server 会检查可信密钥提供程序在目标主机上是否可用,以及主机是否有权访问该密钥提供程序。
vSphere Native Key Provider vMotion 和跨 vCenter Server vMotion
vSphere Native Key Provider 支持跨 ESXi 主机 vMotion 和加密 vMotion如果在目标主机上配置了 vSphere Native Key Provider,则支持跨 vCenter Server vMotion。
如何在虚拟机上激活加密 vSphere vMotion
您可以在创建虚拟机期间激活加密vSphere vMotion。稍后可从虚拟机设置中更改加密 vMotion 状态。只能更改未加密的虚拟机的加密 vMotion 状态。
有关虚拟机加密的详细信息,请参见什么是加密 vSphere vMotion。
前提条件
只有 vSphere 6.5 以及更高版本支持加密 vMotion。