透過 vSphere 虛擬機器加密,您可以建立加密的虛擬機器,以及加密現有虛擬機器。由於包含敏感資訊的所有虛擬機器檔案都會加密,因此會保護虛擬機器。僅具有加密權限的管理員可以執行加密和解密工作。

使用哪些金鑰

兩種類型的金鑰用於加密。
  • ESXi 主機產生並使用內部金鑰來加密虛擬機器和磁碟。這些金鑰用作資料加密金鑰 (DEK) 且是 XTS-AES-256 金鑰。
  • vCenter Server 從 KMS 申請金鑰。這些金鑰用作金鑰加密金鑰 (KEK) 且是 AES-256 金鑰。vCenter Server 僅儲存每個 KEK 的識別碼,但不儲存金鑰本身。
  • ESXi 使用 KEK 加密內部金鑰,且在磁碟上儲存加密的內部金鑰。ESXi 不在磁碟上儲存 KEK。如果主機重新開機,vCenter Server 會從 KMS 申請具有對應識別碼的 KEK,且使其可供 ESXi 使用。然後,ESXi 可視需要解密內部金鑰。

加密哪些檔案

vSphere 虛擬機器加密支援加密虛擬機器檔案、虛擬磁碟檔案,以及核心傾印檔案。
虛擬機器檔案
會加密大多數虛擬機器檔案 (尤其是未儲存在 VMDK 檔案中的客體資料)。這組檔案包括但不限於 NVRAM、VSWP 和 VMSN 檔案。 vCenter Server 從 KMS 擷取的金鑰將解除鎖定包含內部金鑰和其他密碼的 VMX 檔案中的加密服務包。
如果您正在使用 vSphere Client 建立加密的虛擬機器,可以加密和解密獨立於虛擬機器檔案的虛擬磁碟。如果您正使用 vSphere Web Client 建立加密的虛擬機器,預設會加密所有虛擬磁碟。對於其他加密工作 (針對兩個用戶端),如加密現有虛擬機器,您可以加密和解密獨立於虛擬機器檔案的虛擬磁碟。
備註: 您無法將加密的虛擬磁碟與未加密的虛擬機器建立關聯。
虛擬磁碟檔案
加密的虛擬磁碟 (VMDK) 檔案中的資料永遠不會以純文字寫入儲存區或實體磁碟,且永遠不會以純文字透過網路傳輸。VMDK 描述元檔案通常為純文字,但包含 KEK 的金鑰識別碼和加密服務包中的內部金鑰 (DEK)。
您可以使用 vSphere API 透過新 KEK 執行淺層雙重加密作業或透過新內部金鑰執行深度雙重加密作業。
核心傾印
永遠加密已啟用加密模式的 ESXi 主機上的核心傾印。請參閱 vSphere 虛擬機器加密和核心傾印
備註: 不會加密 vCenter Server 系統上的核心傾印。保護 vCenter Server 系統的存取權。
備註: 如需 vSphere 虛擬機器加密可互通的裝置和功能相關的一些限制的相關資訊,請參閱 虛擬機器加密互通性

不加密哪些檔案

不加密或部分加密與虛擬機器相關聯的一些檔案。
記錄檔
不加密記錄檔,因為其不包含敏感資料。
虛擬機器組態檔
不加密 VMX 和 VMSD 檔案中儲存的大多數虛擬機器組態資訊。
虛擬磁碟描述元檔案
為了支援無金鑰的磁碟管理,不會加密大多數虛擬磁碟描述元檔案。

誰可以執行密碼編譯作業

僅指派了密碼編譯作業權限的使用者可以執行密碼編譯作業。權限集是精細的。請參閱密碼編譯作業權限。預設管理員系統角色包含所有密碼編譯作業權限。新角色「無密碼編譯管理員」支援所有管理員權限,密碼編譯作業權限除外。

您可以建立其他自訂角色,例如允許使用者群組加密虛擬機器但防止其解密虛擬機器。

如何執行密碼編譯作業

vSphere ClientvSphere Web Client 支援許多密碼編譯作業。對於其他工作,您可以使用 vSphere API。

表 1. 用於執行密碼編譯作業的介面
介面 作業 資訊
vSphere ClientvSphere Web Client 建立加密的虛擬機器

加密和解密虛擬機器

本書。
vSphere Web Services SDK 建立加密的虛擬機器

加密和解密虛擬機器

執行虛擬機器的深度雙重加密 (使用不同的 DEK)。

執行虛擬機器的淺層雙重加密 (使用不同的 KEK)。

vSphere Web Services SDK 程式設計指南

VMware vSphere API 參考

crypto-util 解密加密的核心傾印、檢查是否已加密檔案,以及在 ESXi 主機上直接執行其他管理工作。 命令列說明。

vSphere 虛擬機器加密和核心傾印