加密 vSphere vMotion 中加密的内容

对于加密的虚拟机，使用 vSphere vMotion 迁移时始终使用加密 vSphere vMotion。您无法为加密虚拟机关闭加密 vSphere vMotion。

未加密虚拟机的加密 vSphere vMotion 状态

加密虚拟机时，虚拟机会记录加密 vSphere vMotion 的当前设置。如果您稍后停用虚拟机加密，则在您明确更改设置之前，加密 vMotion 设置将保持为“必需”。您可以使用编辑设置进行设置更改。

在 vCenter Server 实例之间迁移或克隆加密虚拟机

vSphere vMotion 支持在 vCenter Server 实例之间迁移和克隆加密虚拟机。

在 vCenter Server 实例之间迁移或克隆加密虚拟机时，必须将源和目标 vCenter Server 实例配置为共享用于对虚拟机进行加密的密钥提供程序。此外，源和目标 vCenter Server 实例上的密钥提供程序名称也必须相同，它们具有以下特征。

• 标准密钥提供程序：该密钥提供程序中的密钥服务器必须相同。
• 可信密钥提供程序：目标主机上必须配置相同的 vSphere Trust Authority 服务。
• vSphere Native Key Provider：必须具有相同的 KDK。
  注： 无论源主机是否位于集群中，都无法将使用 vSphere Native Key Provider 加密的虚拟机克隆或迁移到独立主机。

目标 vCenter Server 确保目标 ESXi 主机已设置加密模式，从而确保主机可通过加密保障安全。

使用 vSphere vMotion 在 vCenter Server 实例之间迁移或克隆加密虚拟机时，需要具备以下特权。

• 迁移：加密操作.迁移（在虚拟机上）
• 克隆：加密操作.克隆（在虚拟机上）

此外，目标 vCenter Server 还必须具有加密操作.加密新项特权。如果目标 ESXi 主机未处于“安全”模式，则目标 vCenter Server 也必须具有加密操作.注册主机特权。

在同一 vCenter Server 或跨 vCenter Server 实例迁移虚拟机（未加密或加密）时，不允许执行某些任务。

• 不能更改虚拟机存储策略。
• 不能执行密钥更改。

在 vCenter Server 实例之间迁移或克隆加密虚拟机的最低要求

使用 vSphere vMotion 在 vCenter Server 实例之间迁移或克隆标准密钥提供程序加密虚拟机的最低版本要求：

• 源和目标 vCenter Server 实例都必须为 7.0 或更高版本。
• 源和目标 ESXi 主机都必须为 6.7 或更高版本。

使用 vSphere vMotion 在 vCenter Server 实例之间迁移或克隆可信密钥提供程序加密虚拟机的最低版本要求：

• 必须为目标主机配置 vSphere Trust Authority 服务，且目标主机必须已证明。
• 迁移时无法更改加密。例如，将虚拟机迁移到新存储时，无法加密未加密的磁盘。
• 可以将标准加密虚拟机迁移到受信任主机。源和目标 vCenter Server 实例上的密钥提供程序名称必须相同。
• 无法将 vSphere Trust Authority 加密虚拟机迁移到非受信任主机。

可信密钥提供程序 vMotion 和跨 vCenter Server vMotion

可信密钥提供程序完全支持跨 ESXi 主机 vMotion

支持跨 vCenter Server vMotion，但具有以下限制。

1. 必须在目标主机上配置所需的可信服务，且目标主机必须已证明。
2. 迁移时无法更改加密。例如，将虚拟机迁移到新存储时，无法加密磁盘。

执行跨 vCenter Server vMotion 时，vCenter Server 会检查可信密钥提供程序在目标主机上是否可用，以及主机是否有权访问该密钥提供程序。

vSphere Native Key Provider vMotion 和跨 vCenter Server vMotion

vSphere Native Key Provider 支持跨 ESXi 主机 vMotion 和加密 vMotion如果在目标主机上配置了 vSphere Native Key Provider，则支持跨 vCenter Server vMotion。