請檢閱虛擬機器加密注意須知,以避免稍後發生問題。

若要瞭解哪些裝置和功能不能與虛擬機器加密搭配使用,請參閱虛擬機器加密互通性

限制

當您規劃虛擬機器加密策略時,請考慮下列注意須知。

  • 複製加密的虛擬機器或執行 Storage vMotion 作業時,您可以嘗試變更磁碟格式。此類轉換不一定會成功。例如,如果複製虛擬機器並嘗試將磁碟格式從消極式歸零完整格式變更為精簡格式,虛擬機器磁碟會保留消極式歸零完整格式。

  • 無法使用編輯設定功能表加密虛擬機器及其磁碟。您必須改為變更儲存區原則。透過使用編輯設定功能表或變更儲存區原則,您可以執行其他加密工作,例如對加密的虛擬機器的未加密磁碟進行加密。請參閱加密現有虛擬機器或虛擬磁碟

  • 從虛擬機器卸除磁碟時,不會保留虛擬磁碟的儲存區原則資訊。

    • 如果虛擬磁碟已加密,您必須將儲存區原則明確設定為虛擬機器加密原則,或設定為包含加密的儲存區原則。

    • 如果虛擬磁碟未加密,您可以在將磁碟新增至虛擬機器時變更儲存區原則。

    如需詳細資料,請參閱虛擬磁碟加密

  • 先解密核心傾印,然後再將虛擬機器移到其他叢集。

    vCenter Server 不會儲存 KMS 金鑰,僅會追蹤金鑰識別碼。因此,vCenter Server 不會永久儲存 ESXi 主機金鑰。

    在某些情況下,例如將 ESXi 主機移到其他叢集並將主機重新開機時,vCenter Server 會為主機指派新的主機金鑰。您無法使用新的主機金鑰解密任何現有核心傾印。

  • 加密的虛擬機器不支援 OVF 匯出。

虛擬機器鎖定狀態

如果虛擬機器金鑰或一或多個虛擬磁碟金鑰遺失,虛擬機器會進入鎖定狀態。在鎖定狀態下,無法執行虛擬機器作業。

  • vSphere Web Client 加密虛擬機器及其磁碟時,會為它們使用相同的金鑰。

  • 使用 API 執行加密時,您可以針對虛擬機器和磁碟使用不同的加密金鑰。在這種情況下,如果您嘗試開啟虛擬機器電源並且其中一個磁碟金鑰遺失,開啟電源作業就會失敗。如果移除虛擬磁碟,就可以開啟虛擬機器電源。

如需疑難排解建議,請參閱解決遺失金鑰問題

金鑰管理伺服器 (KMS)

只能將 KMS 新增至 vCenter Server 系統一次。無法新增 KMS 兩次,例如,在兩個不同的 KMS 叢集執行個體中。