請遵循虛擬機器加密最佳做法,以避免稍後 (例如產生 vm-support 服務包時) 發生問題。
一般最佳做法
請遵循下列一般最佳做法,以避免發生問題。
- 請勿加密任何 vCenter Server Appliance 虛擬機器。
- 如果 ESXi 主機失敗,請儘快擷取支援服務包。主機金鑰必須可用於產生使用密碼的支援服務包或解密核心傾印。如果將主機重新開機,主機金鑰可能會發生變更。如果出現這種情況,您將無法再產生使用密碼的支援服務包或使用主機金鑰解密支援服務包中的核心傾印。
- 請謹慎管理 KMS 叢集名稱。如果已在使用中的 KMS 的 KMS 叢集名稱發生變更,使用來自該 KMS 的金鑰加密的虛擬機器在電源開啟或登錄期間會進入鎖定狀態。在這種情況下,請將該 KMS 從 vCenter Server 中移除並以最初使用的叢集名稱加以新增。
- 請勿編輯 VMX 檔案和 VMDK 描述元檔案。這些檔案包含加密服務包。您的變更可能會使虛擬機器無法復原,並且該復原問題無法修復。
- 加密程序會在主機上的資料寫入儲存區之前將其加密。後端儲存區功能 (例如重複資料刪除和壓縮) 可能對加密的虛擬機器無效。使用 vSphere 虛擬機器加密時,請考量儲存區權衡。
- 加密需要大量 CPU。AES-NI 顯著提升了加密效能。在 BIOS 中啟用 AES-NI。
已加密核心傾印的最佳做法
請遵循下列最佳做法,以避免在您想要檢查核心傾印以診斷問題時發生問題。
- 建立與核心傾印有關的原則。加密核心傾印是因為它們可能包含敏感資訊,例如金鑰。如果要解密核心傾印,請考慮敏感資訊。ESXi 核心傾印可能包含 ESXi 主機及其上虛擬機器的金鑰。在解密核心傾印之後,請考量變更主機金鑰並對已加密的虛擬機器進行雙重加密。您可以透過使用 vSphere API 來執行這兩項工作。
如需詳細資料,請參閱vSphere 虛擬機器加密和核心傾印。
- 在您收集 vm-support 服務包時,一律使用密碼。您可以在透過 vSphere Client 或使用 vm-support 命令產生支援服務包時指定密碼。
該密碼會對使用內部金鑰的核心傾印進行雙重加密,以使用基於密碼的金鑰。您稍後可以使用該密碼來解密可能包含在支援服務包中的任何已加密核心傾印。透過使用密碼選項,未加密的核心傾印和記錄不會受到影響。
- vSphere 元件中不會保存您在 vm-support 服務包建立期間指定的密碼。您將負責追蹤支援服務包的密碼。
- 變更主機金鑰之前,請先產生使用密碼的 vm-support 服務包。您稍後可以使用密碼來存取可能已使用舊主機金鑰加密的任何核心傾印。
金鑰生命週期管理最佳做法
實作最佳做法不但可保證 KMS 可用性,而且能夠監控 KMS 上的金鑰。
- 您將負責建立用於保證 KMS 可用性的原則。
如果 KMS 無法使用,需要 vCenter Server 要求來自 KMS 的金鑰的虛擬機器作業將無法進行。這意味著,執行中的虛擬機器會繼續執行,您可以對這些虛擬機器進行開啟電源、關閉電源和重新設定。但是,您無法將這些虛擬機器重新放置到不具金鑰資訊的主機。
大多數 KMS 解決方案都包含高可用性功能。您可以使用 vSphere Client 或 API 來指定 KMS 叢集和相關聯的 KMS 伺服器。
- 您將負責追蹤金鑰,並在現有虛擬機器的金鑰未處於 [作用中] 狀態時執行修復。
KMIP 標準定義了下列金鑰狀態。
- 作用前
- 作用中
- 已停用
- 已遭洩露
- 已銷毀
- 已銷毀並遭洩露
vSphere 虛擬機器加密僅使用 [作用中] 金鑰進行加密。如果金鑰為 [作用前],vSphere 虛擬機器加密會將其啟動。如果金鑰狀態為 [已停用]、[已遭洩露]、[已銷毀]、[已銷毀並遭洩露],則無法使用該金鑰加密虛擬機器。
對於處於其他狀態的金鑰,使用這些金鑰的虛擬機器會繼續運作。複製或移轉作業是否成功取決於其金鑰是否已存在於主機上。- 如果金鑰存在於目的地主機上,則表示作業成功執行,即使金鑰在 KMS 上不是 [作用中] 狀態。
- 如果所需的虛擬機器和虛擬磁碟金鑰不在目的地主機上,則 vCenter Server 必須從 KMS 擷取金鑰。如果金鑰狀態為 [已停用]、[已遭洩露]、[已銷毀]、[已銷毀並遭洩露],則 vCenter Server 會顯示錯誤,作業不會成功。
如果金鑰已存在於主機上,則複製或移轉作業成功。如果 vCenter Server 必須從 KMS 提取金鑰,則作業失敗。
如果金鑰不是 [作用中] 狀態,請使用 API 執行重設金鑰作業。請參閱《vSphere Web Services SDK 程式設計指南》。
備份和還原最佳做法
請設定有關備份和還原作業的原則。
- 並非所有備份架構皆受支援。請參閱虛擬機器加密互通性。
- 針對還原作業設定原則。因為備份一律採用純文字形式,所以請計劃在還原完成後立即加密虛擬機器。您可以指定加密虛擬機器做為還原作業的一部分。如果可能,請在還原程序過程中加密虛擬機器,以避免曝光敏感資訊。若要變更與虛擬機器相關聯的任何磁碟的加密原則,請變更磁碟的儲存區原則。
- 由於虛擬機器主檔案已加密,請確保加密金鑰在還原時可供使用。
效能最佳做法
- 加密效能取決於 CPU 和儲存區速度。
- 加密現有虛擬機器耗用的時間比在虛擬機器建立期間進行加密的時間要久。如果可能,請在建立虛擬機器時對其進行加密。
儲存區原則最佳做法
請勿修改配套虛擬機器加密範例儲存區原則。請改為複製原則並編輯複製品。
備註: 不存在將虛擬機器加密原則恢復為其原始設定的自動化方式。
如需自訂儲存區原則的詳細資料,請參閱 vSphere 儲存區 說明文件。