使用密碼編譯權限和角色

您可以將無密碼編譯管理員角色指派給不需要密碼編譯作業權限的 vCenter Server 管理員。

若要進一步限制使用者可以執行的作業，您可以複製無密碼編譯管理員角色，並建立僅具有某些密碼編譯作業權限的自訂角色。例如，您可以建立允許使用者加密，但無法解密虛擬機器的角色。請參閱使用 vCenter Server 角色指派權限。

什麼是主機加密模式

主機加密模式可確定 ESXi 主機是否準備好接受密碼編譯資料，用於加密虛擬機器和虛擬磁碟。必須啟用主機加密模式，才能在主機上執行任何密碼編譯作業。主機加密模式通常在需要時自動設定，但您可以明確設定。您可以從 vSphere Client 或透過使用 vSphere API 檢查並明確設定目前的主機加密模式。

啟用主機加密模式時，vCenter Server 會在主機上安裝主機金鑰，這可確保主機已經過密碼編譯，「安全無憂」。就地使用主機金鑰，可以繼續執行其他密碼編譯作業，包括 vCenter Server 從金鑰提供者取得金鑰和將其推送到 ESXi 主機。

在「安全」模式下，使用者環境 (即 hostd) 和加密的虛擬機器具有加密的核心傾印。未加密的虛擬機器沒有加密的核心傾印。

如需有關加密的核心傾印和 VMware 技術支援如何使用它們的詳細資訊，請參閱 VMware 知識庫文章，網址為 https://kb.vmware.com/s/article/2147388。

如需相關指示，請參閱 明確啟用主機加密模式。

主機加密模式一經設定，便不會輕易停用。請參閱使用 API 停用主機加密模式。

當加密作業嘗試設定主機加密模式時，會發生自動變更。例如，假設您將已加密的虛擬機器新增至獨立主機。主機加密模式未設定。如果您在主機上擁有所需權限，則加密模式會變更為自動設定。

假定叢集有三台 ESXi 主機：主機 A、B 和 C。您在主機 A 上建立已加密的虛擬機器。發生的情況取決於多個因素。

• 如果主機 A、B 和 C 已設定主機加密模式，則您只需密碼編譯作業.加密新增項目權限即可建立虛擬機器。
• 如果主機 A 和 B 已設定主機加密，而主機 C 未設定，則系統會以如下方式繼續進行。
  • 假設您在每台主機上擁有密碼編譯作業.加密新增項目和密碼編譯作業.登錄主機權限。在這種情況下，加密程序會在主機 C 上設定主機加密模式，並將金鑰推送到叢集中的每台主機。

    對於這種情況，您也可以在主機 C 上明確設定主機加密模式。

  • 假設您在虛擬機器或虛擬機器資料夾上僅擁有密碼編譯作業.加密新增項目權限。在此情況下，虛擬機器會成功建立，且金鑰在主機 A 和主機 B 上變得可用。主機 C 仍停用加密，且沒有虛擬機器金鑰。
• 如果所有主機皆未設定主機加密模式，並且您在主機 A 上擁有密碼編譯作業.登錄主機權限，則虛擬機器建立程序會在該主機上設定主機加密模式。否則，主機 B 和 C 會產生錯誤。
• 也可以使用 vSphere API 將叢集的加密模式設定為「強制啟用」。強制啟用會導致叢集中的所有主機均「安全無憂」，即 vCenter Server 已在主機上安裝主機金鑰。請參閱vSphere Web Services SDK 程式設計指南。

加密虛擬機器時的磁碟空間需求

加密現有虛擬機器時，您至少需要虛擬機器目前使用之空間兩倍的空間。