使用相同的金鑰加密複製的加密虛擬機器,除非您變更金鑰。若要變更金鑰,可以使用 vSphere Client、PowerCLI 或 API。如果使用 PowerCLI 或 API,則只需一步即可複製加密的虛擬機器並變更金鑰。

您可以在複製期間執行下列作業。

  • 從未加密的虛擬機器或範本虛擬機器建立加密的虛擬機器。
  • 從加密的虛擬機器或範本虛擬機器建立解密的虛擬機器。
  • 使用與來源虛擬機器金鑰不同的金鑰來雙重加密目的地虛擬機器。
  • 從 vSphere 8.0 開始,對具有 vTPM 的虛擬機器選取取代選項時,會以新的空白 vTPM 開始,該 vTPM 將取得自己的金鑰和身分識別。
備註: vSphere 8.0 包含 vpxd.clone.tpmProvisionPolicy 進階設定,可將 vTPM 的預設複製行為設定為「取代」。

您可以從加密的虛擬機器建立即時複製虛擬機器,並注意即時複製品將與來源虛擬機器共用相同的金鑰。無法雙重加密來源或即時複製虛擬機器上的金鑰。

若要使用 API 複製加密機器,請參閱vSphere Web Services SDK 程式設計指南

必要條件

  • 必須設定並啟用金鑰提供者。
  • 建立加密儲存區原則,或使用綁定的範例「虛擬機器加密原則」。
  • 所需權限 (適用於所有金鑰提供者):
    • 密碼編譯作業.複製
    • 密碼編譯作業.加密
    • 密碼編譯作業.解密
    • 密碼編譯作業.雙重加密
    • 如果主機加密模式未處於 [已啟用] 狀態,則還需要密碼編譯作業.登錄主機權限。

程序

  1. vSphere Client詳細目錄中,瀏覽至虛擬機器。
  2. 若要建立已加密機器的複製品,請在虛擬機器上按一下滑鼠右鍵,選取複製 > 複製到虛擬機器,並依照提示進行操作。
    1. 選取名稱和資料夾頁面中,指定名稱和用於複製的目標位置。
    2. 選取計算資源頁面上,指定您擁有權限的物件。
    3. (選擇性) 變更已複製 vTPM 的金鑰。
      圖 1. 選取 TPM 佈建原則
      此螢幕擷取畫面顯示了複製具有 vTPM 的虛擬機器時 TPM 佈建原則的選擇。
      複製虛擬機器會複製整個虛擬機器,包括 vTPM 及其可用於確定系統之身分識別的密碼。若要變更 vTPM 上的密碼,請對 TPM 佈建原則選取 取代
      備註: 取代 vTPM 的密碼時,將取代所有金鑰,包括工作負載相關金鑰。最佳做法是,在取代金鑰之前,確保工作負載不再使用 vTPM。否則,已複製虛擬機器中的工作負載可能無法正常運作。
    4. 選取儲存區頁面中選取資料存放區。可以在複製作業進行時變更儲存區原則。例如,從使用加密原則變更為非加密原則會解密磁碟。
    5. 選取複製選項頁面上選取複製選項,如vSphere 虛擬機器管理說明文件中所述。
    6. 即將完成頁面上,檢閱資訊並按一下完成
  3. (選擇性) 變更已複製虛擬機器的金鑰。
    依預設,會使用與父系相同的金鑰建立複製的虛擬機器。最佳做法是變更已複製的虛擬機器金鑰,以確保多部虛擬機器沒有相同的金鑰。
    1. 確定淺層或深度雙重加密。
      若要使用不同的 DEK 和 KEK,請對已複製的虛擬機器執行深度雙重加密。若要使用不同的 KEK,請對已複製的虛擬機器執行淺層雙重加密。對於深度雙重加密,必須關閉虛擬機器電源。您可以在虛擬機器開啟電源且虛擬機器已有快照存在時執行淺層雙重加密作業。僅允許在單一快照分支 (磁碟鏈結) 上對具有快照的加密虛擬機器進行淺層雙重加密。不支援多個快照分支。如果淺層雙重加密在使用新 KEK 更新鏈結中的所有連結之前失敗,您仍可以存取加密的虛擬機器 (如果有舊 KEK 和新 KEK)。
    2. 使用 API 對複製品執行雙重加密。請參閱vSphere Web Services SDK 程式設計指南