vSphere 虛擬機器加密就可與其互通的裝置和功能方面存在一些限制。

以下限制和備註適用於使用 vSphere 虛擬機器加密的情況。如需有關使用 vSAN 加密的類似資訊,請參閱管理 VMware vSAN說明文件。

關於特定加密工作的限制

在加密的虛擬機器上執行某些任務時,會有一些限制。

  • 對於大多數虛擬機器加密作業,必須關閉虛擬機器電源。您可以在虛擬機器電源開啟時複製加密的虛擬機器,並且可以執行淺層雙重加密。
    備註: 已設定 IDE 控制器的虛擬機器必須關閉電源,才能執行淺層重設金鑰作業。
  • 無法在具有快照的虛擬機器上執行深度雙重加密。您可以在具有快照的虛擬機器上執行淺層雙重加密。

虛擬信賴平台模組裝置和 vSphere 虛擬機器加密

虛擬信賴平台模組 (vTPM) 是實體信賴平台模組 2.0 晶片的基於軟體的表示。您可以將 vTPM 新增至新虛擬機器或現有的虛擬機器。若要將 vTPM 新增至虛擬機器,必須在 vSphere 環境中設定金鑰提供者。設定 vTPM 時,將對虛擬機器的「主」檔案 (記憶體交換、NVRAM 檔案等) 進行加密。磁碟檔案或 VMDK 檔案不會自動加密。可以選擇為虛擬機器磁碟明確新增加密。

注意: 複製虛擬機器將複製整個虛擬機器,包括 vTPM 等虛擬裝置。儲存在 vTPM 中的資訊 (包括軟體可用於確定系統身分識別的 vTPM 內容) 也會進行複製。

在 vSphere 8.0 及更新版本中,在複製包含 vTPM 的虛擬機器時,可以選擇從新的空白 vTPM 開始,該 vTPM 將取得自己的密碼和身分識別。

vSphere 虛擬機器加密以及暫停狀態和快照

您可以從已加密虛擬機器的暫停狀態恢復,或還原為已加密機器的記憶體快照。您可以將在 ESXi 主機之間移轉具有記憶體快照和暫停狀態的已加密虛擬機器。

vSphere 虛擬機器加密和 IPv6

在純 IPv6 模式或混合模式下,可以使用 vSphere 虛擬機器加密。您可以使用 IPv6 位址設定金鑰伺服器。可以僅使用 IPv6 位址設定 vCenter Server 和金鑰伺服器。

vSphere 虛擬機器加密中的複製限制

對於所有金鑰提供者類型,支援複製需要滿足一定的條件。您可以在複製時變更加密金鑰。某些複製功能無法與 vSphere 虛擬機器加密搭配使用。

  • 支援完整複製。複製會繼承父系加密狀態 (包括金鑰)。您可以加密完整複製、雙重加密完整複製以使用新金鑰,或解密完整複製。

    支援連結複製,並且複製會繼承父系加密狀態 (包括金鑰)。無法解密連結複製或使用不同金鑰雙重加密連結複製。

    備註: 確認其他應用程式支援連結複製。例如,VMware Horizon ® 7 支援完整複製和即時複製,但不支援連結複製。
  • 所有金鑰提供者類型都支援即時複製,但在複製時無法變更加密金鑰。
  • 您可以從加密的虛擬機器建立連結複製虛擬機器。連結複製虛擬機器包含相同的金鑰。您可以對連結複製的加密虛擬機器「首頁」檔案重設金鑰,但無法對磁碟重設金鑰。

vSphere Native Key Provider 的限制

vSphere Native Key Provider 不支援某些作業。

  • 無法使用 vSphere Native Key Provider 對獨立主機上的虛擬機器進行加密。主機必須位於叢集中才能使用 vSphere Native Key Provider。
  • 無法將包含使用 vSphere Native Key Provider 加密的虛擬機器的主機移至其他叢集,除非目標叢集包含相同的 vSphere Native Key Provider。(當加密金鑰不存在且目標叢集不具有相同的 vSphere Native Key Provider 時,將會鎖定已移動主機上的加密虛擬機器。)
  • 由於不支援 vSphere Native Key Provider,無法將 vSphere Native Key Provider 加密的虛擬機器登錄到舊版主機。
  • 由於要求獨立主機位於叢集中,無法將 vSphere Native Key Provider 加密的虛擬機器登錄到獨立主機。

vSphere 虛擬機器加密不支援的磁碟組態

vSphere 虛擬機器加密不支援某些類型的虛擬機器磁碟組態。

  • RDM (原始裝置對應)。但是,支援 vSphere Virtual Volumes (vVols)。
  • 多重寫入器或共用磁碟 (MSCS、WSFC 或 Oracle RAC)。多寫入器磁碟支援加密虛擬機器的「主」檔案。多重寫入器磁碟不支援加密虛擬磁碟。如果嘗試在具有加密虛擬磁碟的虛擬機器的編輯設定頁面中選取多重寫入器,則會停用確定按鈕。

vSphere 虛擬機器加密中的其他限制

無法與 vSphere 虛擬機器加密搭配使用的其他功能包括下列各項。

  • vSphere ESXi Dump Collector
  • 內容程式庫
    • 內容程式庫支援兩種類型的範本,即 OVF 範本類型和虛擬機器範本類型。無法將加密虛擬機器匯出為 OVF 範本類型。OVF Tool 不支援加密虛擬機器。可以使用虛擬機器範本類型建立加密虛擬機器範本。在 vSphere 8.0 及更新版本中,ovftool 命令包含將 vTPM 預留位置新增到 OVF 描述元檔案的選項。從此類範本部署虛擬機器時,vCenter Server 在目的地虛擬機器上建立具有唯一密碼的 vTPM。請參閱《vSphere 虛擬機器管理》說明文件。
  • 用於備份加密虛擬磁碟的軟體必須使用 VMware vSphere Storage API - Data Protection (VADP) 在熱新增模式或啟用了 SSL 的 NBD 模式下備份磁碟。但是,並非所有使用 VADP 進行虛擬磁碟備份的備份解決方案都受支援。有關詳細資料,請洽詢您的備份廠商。
    • 不支援使用 VADP SAN 傳輸模式解決方案備份加密虛擬磁碟。
    • 加密虛擬磁碟支援 VADP 熱新增解決方案。備份軟體必須支援對在熱新增備份工作流程中使用的 Proxy 虛擬機器進行加密。廠商必須具有密碼編譯作業.加密虛擬機器權限。
    • 備份加密虛擬磁碟時,支援使用 NBD-SSL 傳輸模式的備份解決方案。廠商應用程式必須具有密碼編譯作業.直接存取權限。
  • 無法將輸出從加密的虛擬機器傳送至序列埠或平行埠。即使組態顯示成功,輸出仍傳送至檔案。
  • VMware Cloud on AWS 中不支援 vSphere 虛擬機器加密。請參閱《管理 VMware Cloud on AWS 資料中心》說明文件。