只能在包含 vCenter Server 的環境中執行加密工作。此外,ESXi 主機必須為大多數加密工作啟用加密模式。執行此工作的使用者必須擁有適當的權限。一組密碼編譯作業權限允許進行更為精細的控制。如果虛擬機器加密工作需要變更主機加密模式,則需要其他權限。

密碼編譯權限和角色

依預設,具有 vCenter Server 管理員角色的使用者擁有所有權限。無密碼編譯管理員角色沒有執行密碼編譯作業所需的下列權限。

  • 新增密碼編譯作業權限。

  • 全域 > 診斷

  • 主機 > 詳細目錄 > 新增主機至叢集

  • 主機 > 詳細目錄 > 新增獨立主機

  • 主機 > 本機作業 > 管理使用者群組

您可以將無密碼編譯管理員角色指派給不需要密碼編譯作業權限的 vCenter Server 管理員。

若要進一步限制使用者可以執行的作業,您可以複製無密碼編譯管理員角色,並建立僅具有某些密碼編譯作業權限的自訂角色。例如,您可以建立允許使用者加密,但無法解密虛擬機器的角色。請參閱使用角色指派權限

主機加密模式

僅在為 ESXi 主機啟用主機加密模式時,才可以加密虛擬機器。主機加密模式經常自動啟用,但其可以明確啟用。您可以從 vSphere Web Client 或透過使用 vSphere API 檢查並明確設定目前的主機加密模式。

如需相關指示,請參閱 明確啟用主機加密模式

主機加密模式一經啟用,便不會輕易停用。請參閱停用主機加密模式

當加密作業嘗試啟用主機加密模式時,會發生自動變更。例如,假設您將已加密的虛擬機器新增至獨立主機。主機加密模式未啟用。如果您在主機上擁有所需權限,則加密模式會變更為自動啟用。

假定叢集有三個 ESXi 主機:主機 A、B 和 C。您將已加密的虛擬機器新增至主機 A。發生的情況取決於多個因素。

  • 如果主機 A、B 和 C 已啟用加密,則您只需密碼編譯作業 > 加密新增項目權限即可建立虛擬機器。

  • 如果主機 A 和 B 已啟用加密,而主機 C 未啟用,則系統會以如下方式繼續進行。

    • 假設您在每台主機上擁有密碼編譯作業 > 加密新增項目密碼編譯作業 > 登錄主機權限。在此情況下,虛擬機器建立程序會在主機 C 上啟用加密。加密程序在主機 C 上啟用主機加密模式,並將金鑰推送給叢集中的每台主機。

      對於這種情況,您也可以在主機 C 上明確啟用主機加密。

    • 假設您在虛擬機器或虛擬機器資料夾上僅擁有密碼編譯作業 > 加密新增項目權限。在此情況下,虛擬機器會成功建立,且金鑰在主機 A 和主機 B 上變得可用。主機 C 仍停用加密,且沒有虛擬機器金鑰。

  • 如果所有主機皆未啟用加密,並且您在主機 A 上擁有密碼編譯作業 > 登錄主機權限,則虛擬機器建立程序會在該主機上啟用主機加密。否則會導致錯誤。

磁碟空間需求

加密現有虛擬機器時,您至少需要虛擬機器目前使用之空間兩倍的空間。