可以通过复制加密虚拟机来提高数据安全性和保护。

警告: 如果运行的是 vSphere 7.0 Update 2,则无法复制加密虚拟机。开启虚拟机加密后, vSphere 8.4 将不支持 vSphere Replication 7.0 Update 2。
如果运行的是 vSphere 6.7 Update 1 或更高版本,则可以复制虚拟机。确保使用一个公用密钥管理服务器 (Key Management Server, KMS),或者两个站点的密钥管理服务器集群都使用通用加密密钥。确保在源站点和目标站点中使用相同的名称注册 KMS 服务器。有关如何设置密钥管理服务器集群的信息,请参见 《VMware vSphere ESXi 和 vCenter Server 6.7》文档。

加密虚拟机可以同时具有加密和未加密磁盘,您必须遵守每种类型的不同策略。

为复制中的目标磁盘指定虚拟机存储策略时,如果源磁盘已加密,则必须设置在目标上启用虚拟机加密的存储策略。对于未加密的源磁盘,必须设置在目标上未启用虚拟机加密的存储策略。

如果使用复制种子,则加密源磁盘的目标磁盘必须处于加密状态,未加密源磁盘的目标磁盘必须处于未加密状态。副本磁盘可以具有与源磁盘不同的加密密钥。

如果不使用种子磁盘,则使用与源虚拟机磁盘相同的加密密钥对副本磁盘进行加密。

配置加密虚拟机的复制时,会对传输的数据自动启用加密以增强数据安全性,并且您无法将其关闭。

有关虚拟机加密的详细信息,请参见《vSphere 安全性》文档中的虚拟机加密

有关为已复制的虚拟机启用虚拟机加密的信息,请参见为已复制的虚拟机启用虚拟机加密

vSphere Native Key Provider

VMware vSphere® Native Key Provider™ 无需外部密钥服务器 (KMS) 即可启用加密相关功能。最初,vCenter Server 没有配置 vSphere Native Key Provider。必须手动配置 vSphere Native Key Provider

使用 vSphere Native Key Provider 的要求:
  • 您需要 vSphere 7.0 Update 2 或更高版本。
  • 您必须购买 vSphere Enterprise+ 版本。

必须同时在本地站点和远程站点配置 vSphere Native Key Provider。本地站点上加密虚拟机的 vSphere Native Key Provider ID 必须与远程站点上的 vSphere Native Key Provider ID 匹配。

要将加密与复制虚拟机的 vSphere Native Key Provider 配合使用,副本磁盘必须位于可从属于 vCenter 集群的至少一个主机上进行访问的数据存储上。

有关详细信息,请参见《VMware vSphere 7.0 产品》文档中的“配置和管理 vSphere Native Key Provider”