複製加密的虛擬機器時,會使用相同的金鑰加密複製品。若要變更複製品的金鑰,請使用 API 對複製品執行雙重加密。請參閱vSphere Web Services SDK 程式設計指南

您可以在複製期間執行下列作業。

  • 從未加密的虛擬機器或範本虛擬機器建立加密的虛擬機器。
  • 從加密的虛擬機器或範本虛擬機器建立解密的虛擬機器。
  • 使用與來源虛擬機器金鑰不同的金鑰來雙重加密目的地虛擬機器。

您可以從加密的虛擬機器建立即時複製虛擬機器,並注意即時複製品將與來源虛擬機器共用相同的金鑰。無法雙重加密來源或即時複製虛擬機器上的金鑰。請參閱vSphere Web Services SDK 程式設計指南

必要條件

  • 建立與 KMS 的信任連線並選取預設 KMS。
  • 建立加密儲存區原則,或使用綁定的範例「虛擬機器加密原則」。
  • 必要權限:
    • 密碼編譯作業.複製
    • 密碼編譯作業.加密
    • 密碼編譯作業.解密
    • 密碼編譯作業.雙重加密
    • 如果主機加密模式未處於 [已啟用] 狀態,則還需要密碼編譯作業.登錄主機權限。

程序

  1. vSphere Client詳細目錄中,瀏覽至虛擬機器。
  2. 若要建立已加密機器的複製品,請在虛擬機器上按一下滑鼠右鍵,選取複製 > 複製到虛擬機器,並依照提示進行操作。
    選項 動作
    選取名稱和資料夾 為複製品指定名稱和目標位置。
    選取運算資源 指定您有權限為其建立加密虛擬機器的物件。請參閱加密工作的必要條件和所需權限
    選取儲存區 選取虛擬磁碟格式功能表中進行選取,然後選取一個資料存放區。可以在複製作業進行時變更儲存區原則。例如,從使用加密原則變更為非加密原則會解密磁碟。
    選取複製選項 按照 vSphere 虛擬機器管理說明文件中所述選取複製選項。
    即將完成 檢閱資訊,然後按一下完成
  3. (選擇性) 變更已複製虛擬機器的金鑰。
    依預設,會使用與父系相同的金鑰建立複製的虛擬機器。最佳做法是變更已複製虛擬機器的金鑰,以確保多部虛擬機器沒有相同的金鑰。
    1. 確定淺層或深度雙重加密。
      若要使用不同的 DEK 和 KEK,請對已複製的虛擬機器執行深度雙重加密。若要使用不同的 KEK,請對已複製的虛擬機器執行淺層雙重加密。對於深度雙重加密,必須關閉虛擬機器電源。您可以在虛擬機器開啟電源且虛擬機器已有快照存在時執行淺層雙重加密作業。僅允許在單一快照分支 (磁碟鏈結) 上對具有快照的加密虛擬機器進行淺層雙重加密。不支援多個快照分支。如果淺層雙重加密在使用新 KEK 更新鏈結中的所有連結之前失敗,您仍可以存取加密的虛擬機器 (如果有舊 KEK 和新 KEK)。
    2. 使用 API 對複製品執行雙重加密。請參閱vSphere Web Services SDK 程式設計指南