如果使用者擁有足夠權限,則在使用者執行加密工作時,會自動啟用主機加密模式。啟用主機加密模式後,會加密所有核心傾印以避免敏感資訊洩漏給支援人員。如果您不再將虛擬機器加密用於 ESXi 主機,您可以停用加密模式。

ESXi 主機啟用加密模式後,可能需要將其停用。例如,可能需要停用加密模式才能產生 ESXi 支援服務包 (使用 vm-support 命令)。如果主機上存在金鑰材料,則主機加密模式切換 (主機 > 設定 > 安全性設定檔 > 編輯主機加密模式) 將無法運作。

透過叫用 CryptoManagerHostDisable API 方法,可以使用 API 停用主機加密模式。

ESXi 主機定義的密碼編譯模式或狀態包括:

  • pendingIncapable:停用主機密碼編譯,即主機無法執行 vSphere 虛擬機器加密作業。
  • Incapable:主機無法安全地接收敏感材料。
  • prepared:主機已準備好接收敏感材料,但尚未設定主機金鑰。
  • safe:主機已經過安全密碼編譯 (已啟用),並已設定主機金鑰,即可以執行 vSphere 虛擬機器加密作業。

在主機上叫用 CryptoManagerHostDisable 後,主機的密碼編譯狀態將如下變更:

  • 如果原始主機密碼編譯狀態為 incapable 或 prepared,則主機密碼編譯狀態將變更為 incapable。
  • 如果原始主機密碼編譯狀態為 safe,則主機密碼編譯狀態將變更為 pendingIncapable。
  • 如果主機密碼編譯狀態為 pendingIncapable,則主機密碼編譯狀態仍為 pendingIncapable。

此工作顯示了如何使用 vCenter Server 受管理物件瀏覽器 (MOB) 停用主機加密模式。如需有關使用 API 的詳細資訊,請參閱 vSphere Web Services API 說明文件,網址為 https://developer.vmware.com/apis/968/vsphere

程序

  1. 以管理員身分登入 vCenter Server
  2. 從要停用其加密模式的 ESXi 主機解除登錄所有加密虛擬機器。
  3. 存取 vCenter Server 上的 MOB。
    https://vcenter_server/mob
  4. 在主機上叫用 CryptoManagerHostDisable 方法。
    1. 在內容名稱下,按一下內容
    2. 在 rootFolder 下,按一下 group-D1 (資料中心)
    3. 在 childEntity 下,按一下相應的資料中心。
    4. 在 hostFolder 下,按一下相應的主機。
    5. 在 childEntity 下,按一下相應的叢集。
    6. 在主機下,按一下相應的主機。
    7. 在 configManager 下,按一下 configManager
    8. 在 cryptoManager 下,按一下 CryptoManagerHost-number
    9. 按一下 CryptoManagerHostDisable
      主機密碼編譯狀態會變更為 pendingIncapable 或 incapable,具體取決於其原始密碼編譯狀態。
  5. 對要停用加密模式的其他主機重複步驟 4。
  6. 將主機重新開機。

結果

停用主機加密模式後,除非重新啟用主機加密模式,否則無法執行加密作業,例如新增已加密虛擬機器。

備註: 將已停用加密模式的 ESXi 主機重新開機後,如果主機密碼編譯狀態最初為 pendingIncapable,則主機密碼編譯狀態仍為 pendingIncapable。若要重新啟用主機加密模式,請重新存取 vCenter Server MOB 並叫用 ConfigureCryptoKey API 方法。重新啟用主機加密模式時,如果主機密碼編譯狀態為 pendingIncapable,請使用原始主機金鑰識別碼。