vSphere vMotion 始終在移轉已加密的虛擬機器時使用加密。對於未加密的虛擬機器,您可以選取其中一個已加密的 vSphere vMotion 選項。

已加密的 vSphere vMotion 保護使用 vSphere vMotion 傳輸之資料的機密性、完整性和真實性。vSphere 支援對 vCenter Server 執行個體之間未加密和已加密的虛擬機器執行加密 vMotion。

加密哪些檔案

對於已加密的磁碟,在所有情況下,傳輸的資料會進行加密。對於未加密的磁碟,將適用於以下情況:

  • 如果在主機內傳輸磁碟資料,即不變更主機,僅變更資料存放區,則傳輸未加密。

  • 如果在主機之間傳輸磁碟資料並使用加密 vMotion,則傳輸將加密。如果未使用加密 vMotion,則傳輸未加密。

對於已加密的虛擬機器,透過 vSphere vMotion 移轉始終使用已加密的 vSphere vMotion。對於已加密的虛擬機器,您無法關閉已加密的 vSphere vMotion。

已加密的 vSphere vMotion 狀態

對於未加密的虛擬機器,您可以將已加密的 vSphere vMotion 設定為下列其中一種狀態。預設為 [隨機]。

已停用

請勿使用已加密的 vSphere vMotion。

隨機

如果來源主機和目的地主機支援,則使用已加密的 vSphere vMotion。僅 ESXi 6.5 版及更新版本使用已加密的 vSphere vMotion。

必要

僅允許已加密的 vSphere vMotion。如果來源主機或目的地主機不支援已加密的 vSphere vMotion,則不允許使用 vSphere vMotion 進行移轉。

當您加密虛擬機器時,虛擬機器會保留目前已加密的 vSphere vMotion 設定的記錄。如果您稍後啟用虛擬機器加密,則已加密的 vMotion 設定會保留為 [必要],直到您明確變更此設定。您可以使用編輯設定變更此設定。

備註:

目前,您必須使用 vSphere API 在 vCenter Server 執行個體之間移轉或複製加密的虛擬機器。請參閱vSphere Web Services SDK 程式設計指南《vSphere Web Services API 參考》

vCenter Server 執行個體之間移轉或複製已加密的虛擬機器

vSphere vMotion 支援在 vCenter Server 執行個體之間移轉和複製已加密的虛擬機器。

vCenter Server 執行個體之間移轉或複製已加密的虛擬機器時,必須將來源和目的地 vCenter Server 執行個體設定為共用用於加密虛擬機器的金鑰提供者。此外,來源和目的地 vCenter Server 執行個體上的金鑰提供者名稱必須相同,並且具有下列特性:

  • 標準金鑰提供者:金鑰提供者中必須具有一個相同的金鑰伺服器 (或多個金鑰伺服器)。

  • 受信任金鑰提供者:在目的地主機上必須設定相同的 vSphere Trust Authority 服務。

  • vSphere Native Key Provider:必須具有相同的 KDK。

目的地 vCenter Server 可確保目的地 ESXi 主機已啟用加密模式,從而確保主機「安全無憂」。

使用 vSphere vMotion 在 vCenter Server 執行個體之間移轉或複製已加密的虛擬機器時,需要具備下列權限。

  • 移轉:虛擬機器上的密碼編譯作業.移轉權限

  • 複製:虛擬機器上的密碼編譯作業.複製權限

此外,目的地 vCenter Server 還必須具有密碼編譯作業.EncryptNew 權限。如果目的地 ESXi 主機未處於「安全」模式,則目的地 vCenter Server 還必須具有密碼編譯作業.RegisterHost 權限。

在同一 vCenter Server 或跨 vCenter Server 執行個體移轉虛擬機器 (未加密或加密) 時,不允許執行某些工作。

  • 無法變更虛擬機器儲存區原則。

  • 無法執行金鑰變更。

備註:

可以在複製虛擬機器時變更虛擬機器儲存區原則。

vCenter Server 執行個體之間移轉或複製已加密的虛擬機器的最低需求

使用 vSphere vMotion 在 vCenter Server 執行個體之間移轉或複製標準金鑰提供者的已加密虛擬機器的最低版本需求如下:

  • 來源和目的地 vCenter Server 執行個體都必須為版本 7.0 或更新版本。

  • 來源和目的地 ESXi 主機都必須為版本 6.7 或更新版本。

使用 vSphere vMotion 在 vCenter Server 執行個體之間移轉或複製受信任金鑰提供者的已加密虛擬機器的最低版本需求如下:

  • 必須針對目的地主機設定 vSphere Trust Authority 服務,並且必須證明目的地主機。

  • 在移轉時無法變更加密。例如,將虛擬機器移轉到新儲存區時,無法加密未加密的磁碟。

  • 您可以將標準的已加密虛擬機器移轉至受信任的主機。來源和目的地 vCenter Server 執行個體上的金鑰提供者名稱必須相同。

  • 無法將 vSphere Trust Authority 加密虛擬機器移轉至不受信任的主機。

受信任金鑰提供者 vMotion 和跨 vCenter Server 執行 vMotion

受信任金鑰提供者完全支援跨 ESXi 主機執行 vMotion。

支援跨 vCenter Server 執行 vMotion,但具有以下限制。

  1. 必須在目的地主機上設定所需的受信任服務,並且必須證明目的地主機。

  2. 在移轉時無法變更加密。例如,將虛擬機器移轉到新儲存區時,無法加密磁碟。

跨 vCenter Server 執行 vMotion 時,vCenter Server 會檢查受信任金鑰提供者在目的地主機上是否可用,以及主機是否有權存取該金鑰提供者。

vSphere Native Key Provider vMotion 和跨 vCenter Server 執行 vMotion

vSphere Native Key Provider 支援 vMotion 和跨 ESXi 主機的加密 vMotion。如果在目的地主機上已設定 vSphere Native Key Provider,則支援跨 vCenter Server 執行 vMotion。