只能在包含 vCenter Server 的環境中執行加密工作。此外,ESXi 主機必須為大多數加密工作啟用加密模式。執行此工作的使用者必須擁有適當的權限。一組密碼編譯作業權限允許進行更為精細的控制。如果虛擬機器加密工作需要變更主機加密模式,則需要其他權限。
密碼編譯權限和角色
- 新增密碼編譯作業權限。
您可以將無密碼編譯管理員角色指派給不需要密碼編譯作業權限的 vCenter Server 管理員。
若要進一步限制使用者可以執行的作業,您可以複製無密碼編譯管理員角色,並建立僅具有某些密碼編譯作業權限的自訂角色。例如,您可以建立允許使用者加密,但無法解密虛擬機器的角色。請參閱使用角色指派權限。
主機加密模式
主機加密模式可確定 ESXi 主機是否準備好接受密碼編譯資料,用於加密虛擬機器和虛擬磁碟。必須啟用主機加密模式,才能在主機上執行任何密碼編譯作業。主機加密模式通常在需要時自動啟用,但您可以明確啟用。您可以從 vSphere Client 或透過使用 vSphere API 檢查並明確設定目前的主機加密模式。
啟用主機加密模式時,vCenter Server 會在主機上安裝主機金鑰,這可確保主機已經過密碼編譯,「安全無憂」。就地使用主機金鑰,可以繼續執行其他密碼編譯作業,包括 vCenter Server 從金鑰提供者取得金鑰和將其推送到 ESXi 主機。
在「安全」模式下,使用者環境 (即 hostd) 和加密的虛擬機器具有加密的核心傾印。未加密的虛擬機器沒有加密的核心傾印。
如需有關加密的核心傾印和 VMware 技術支援如何使用它們的詳細資訊,請參閱 VMware 知識庫文章,網址為 http://kb.vmware.com/kb/2147388。
如需相關指示,請參閱 明確啟用主機加密模式。
主機加密模式一經啟用,便不會輕易停用。請參閱使用 API 停用主機加密模式。
當加密作業嘗試啟用主機加密模式時,會發生自動變更。例如,假設您將已加密的虛擬機器新增至獨立主機。主機加密模式未啟用。如果您在主機上擁有所需權限,則加密模式會變更為自動啟用。
假定叢集有三台 ESXi 主機:主機 A、B 和 C。您在主機 A 上建立已加密的虛擬機器。發生的情況取決於多個因素。
- 如果主機 A、B 和 C 已啟用加密,則您只需 權限即可建立虛擬機器。
- 如果主機 A 和 B 已啟用加密,而主機 C 未啟用,則系統會以如下方式繼續進行。
- 假設您在每台主機上擁有
對於這種情況,您也可以在主機 C 上明確啟用主機加密。
和 權限。在此情況下,虛擬機器建立程序會在主機 C 上啟用加密。加密程序在主機 C 上啟用主機加密模式,並將金鑰推送給叢集中的每台主機。 - 假設您在虛擬機器或虛擬機器資料夾上僅擁有 權限。在此情況下,虛擬機器會成功建立,且金鑰在主機 A 和主機 B 上變得可用。主機 C 仍停用加密,且沒有虛擬機器金鑰。
- 假設您在每台主機上擁有
- 如果所有主機皆未啟用加密,並且您在主機 A 上擁有 權限,則虛擬機器建立程序會在該主機上啟用主機加密。否則會導致錯誤。
- 也可以使用 vSphere API 將叢集的加密模式設定為「強制啟用」。強制啟用會導致叢集中的所有主機均「安全無憂」,即 vCenter Server 已在主機上安裝主機金鑰。請參閱vSphere Web Services SDK 程式設計指南。
磁碟空間需求
加密現有虛擬機器時,您至少需要虛擬機器目前使用之空間兩倍的空間。