您可以將已啟用加密的儲存區原則新增至提供者 VDC。您可以將虛擬機器或磁碟與具有虛擬機器加密功能的儲存區原則相關聯,以加密虛擬機器和磁碟。
從 VMware Cloud Director 10.1 開始,您可以使用虛擬機器加密來提高資料的安全性。加密不僅可以保護虛擬機器,還可以保護虛擬機器磁碟和其他檔案。您可以在 API 和使用者介面中檢視儲存區原則的功能,以及虛擬機器和磁碟的加密狀態。您可以在加密的虛擬機器和磁碟上執行相應 vCenter Server 版本中支援的所有作業。
啟用虛擬機器加密
若要在 VMware Cloud Director 中加密虛擬機器,您必須在 vCenter Server 執行個體上至少設定一個金鑰管理伺服器 (KMS),並將虛擬機器和磁碟與具有虛擬機器加密功能的儲存區原則相關聯。
- 在 vCenter Server 中,新增 KMS 叢集。vCenter Server 執行個體可以有多個 KMS 叢集。如需設定金鑰管理伺服器叢集的相關資訊,請參閱《vSphere 安全性指南》中的〈設定金鑰管理伺服器叢集〉主題。
- 在 vCenter Server 中,對儲存區原則啟用加密。請參閱《vSphere 安全性指南》中的〈建立加密儲存區原則〉主題。
- 在 VMware Cloud Director Service Provider Admin Portal 中,將已啟用加密的原則新增至提供者 VDC。請參閱將虛擬機器儲存區原則新增至提供者虛擬資料中心。
- 在 VMware Cloud Director Service Provider Admin Portal 中,將已啟用加密的原則新增至組織 VDC。請參閱將虛擬機器儲存區原則新增至組織虛擬資料中心。
- 在 VMware Cloud Director Tenant Portal 中,承租人可將虛擬機器或磁碟與已啟用虛擬機器加密的儲存區原則相關聯。
- 若要解密虛擬機器或磁碟,承租人可以將該虛擬機器或磁碟與未啟用加密的儲存區原則相關聯。
虛擬機器加密限制
VMware Cloud Director不支援下列動作。
- 加密或解密已開啟電源的虛擬機器或其磁碟。
- 匯出已加密虛擬機器的 OVF。
- 使用快照加密和解密虛擬機器的磁碟 (如果磁碟屬於快照的一部分)。
- 在虛擬機器的磁碟位於加密原則上時解密虛擬機器。
- 將已加密的磁碟新增至未加密的虛擬機器。
- 在未加密的虛擬機器上加密現有磁碟。
- 將已加密的具名磁碟新增至未加密的虛擬機器。
- 建立加密的連結複製。
- 加密連結複製虛擬機器或其磁碟。
- 在來源虛擬機器已加密時,在 vCenter Server 執行個體之間具現化、移動或複製虛擬機器。
備註: 在快速佈建的組織 VDC 上,如果來源或目標虛擬機器已加密,且您想要建立複製,
VMware Cloud Director 一律會建立完整複製。
識別虛擬機器加密儲存區功能
依預設,系統管理員和組織管理員具有檢視組織 VDC 儲存區功能,以及虛擬機器和磁碟是否加密的必要權限。vApp 作者可以檢視虛擬機器和磁碟的加密狀態。如需有關角色和權限的詳細資訊,請參閱預先定義的角色與其權限。
您可以在功能資料行中檢視所有儲存區功能。此資料行顯示虛擬機器加密、以標籤為基礎的關聯、vSAN,以及 IOPS 限制儲存區功能。若要檢視儲存區功能的完整清單,請按一下儲存區原則名稱左側的箭頭以展開資料列。
下的您也可以在提供者 VDC 的儲存區原則索引標籤中檢視儲存區功能資訊。