當您從 vSphere Client 建立已加密的虛擬機器時,可以決定不進行加密的磁碟。您可以稍後新增磁碟並設定其加密原則。您無法將已加密的磁碟新增至未加密的虛擬機器,並且如果虛擬機器未加密,您將無法加密磁碟。

虛擬機器及其磁碟的加密由儲存區原則控制。虛擬機器首頁的儲存區原則管理虛擬機器本身,並且每個虛擬磁碟都有一個相關聯的儲存區原則。
  • 將虛擬機器首頁的儲存區原則設為僅加密虛擬機器本身的加密原則。
  • 將虛擬機器首頁和所有磁碟的儲存區原則設為加密所有元件的加密原則。

請考慮下列使用案例。

表 1. 虛擬磁碟加密使用案例
使用案例 詳細資料
建立加密的虛擬機器。 如果您在建立加密的虛擬機器時新增磁碟,依預設會加密磁碟。您可以將此原則變更為不加密一或多個磁碟。

虛擬機器建立後,您可以明確變更每個磁碟的儲存區原則。請參閱變更虛擬磁碟的加密原則

加密虛擬機器。 若要加密現有虛擬機器,請變更其儲存區原則。您可以變更虛擬機器和所有虛擬磁碟的儲存區原則。若要僅加密虛擬機器,您可以指定虛擬機器首頁的加密原則,然後為每個虛擬磁碟選取不同的儲存區原則,例如 [資料存放區預設值]。請參閱建立加密的虛擬機器
將現有的未加密磁碟新增至已加密的虛擬機器 (加密儲存區原則)。 失敗並顯示錯誤。您必須新增具有預設儲存區原則的磁碟,但稍後可以變更儲存區原則。請參閱變更虛擬磁碟的加密原則
將現有的未加密磁碟新增至儲存區原則不包含加密 (例如 [資料存放區預設值]) 的已加密虛擬機器。

該磁碟使用預設儲存區原則。如果想要已加密的磁碟,您可以在新增磁碟後明確變更儲存區原則。請參閱變更虛擬磁碟的加密原則

將已加密的磁碟新增至已加密的虛擬機器。虛擬機器首頁儲存區原則為 [加密]。 當您新增磁碟時,它會保持已加密狀態。vSphere Client 會顯示大小和其他屬性,包括加密狀態。
將現有的已加密磁碟新增至未加密的虛擬機器。 此使用案例不受支援。
登錄已加密的虛擬機器。

如果從 vCenter Server 移除已加密的虛擬機器,但未從磁碟中將其刪除,則可以透過登錄虛擬機器的虛擬機器組態 (vmx) 檔案將其傳回至 vCenter Server 詳細目錄。若要登錄已加密的虛擬機器,使用者必須具有 密碼編譯作業.登錄虛擬機器權限。

如果已使用標準金鑰提供者加密虛擬機器,則在登錄已加密的虛擬機器時,vCenter Server 會將所需金鑰推送到 ESXi 主機。如果登錄虛擬機器的使用者不具有 密碼編譯作業.登錄虛擬機器權限,則 vCenter Server 會在登錄時鎖定虛擬機器,並且在解除鎖定之前無法使用該虛擬機器。

如果已使用受信任金鑰提供者或 vSphere Native Key Provider 加密虛擬機器,則在登錄已加密的虛擬機器時,vCenter Server 不再將金鑰推送到 ESXi 主機,而是在登錄虛擬機器時從主機中擷取金鑰。如果登錄虛擬機器的使用者不具有有 密碼編譯作業.登錄虛擬機器權限,則 vCenter Server 不允許執行此作業。