如果使用者擁有足夠權限,則在使用者執行加密工作時,會自動啟用主機加密模式。啟用主機加密模式後,會加密所有核心傾印以避免敏感資訊洩漏給支援人員。如果您不再將虛擬機器加密用於 ESXi 主機,您可以停用加密模式。
為 ESXi 主機啟用加密模式後,可能需要將其停用。例如,可能需要停用加密模式才能產生 ESXi 支援服務包 (使用 vm-support 命令)。如果主機上存在金鑰材料,則主機加密模式切換 ( ) 將無法運作。
透過叫用 CryptoManagerHostDisable API 方法,可以使用 API 停用主機加密模式。
為 ESXi 主機定義的密碼編譯模式或狀態包括:
- pendingIncapable:停用主機密碼編譯,即主機無法執行 vSphere 虛擬機器加密作業。
- Incapable:主機無法安全地接收敏感材料。
- prepared:主機已準備好接收敏感材料,但尚未設定主機金鑰。
- safe:主機已經過安全密碼編譯 (已啟用),並已設定主機金鑰,即可以執行 vSphere 虛擬機器加密作業。
在主機上叫用 CryptoManagerHostDisable 後,主機的密碼編譯狀態將如下變更:
- 如果原始主機密碼編譯狀態為 incapable 或 prepared,則主機密碼編譯狀態將變更為 incapable。
- 如果原始主機密碼編譯狀態為 safe,則主機密碼編譯狀態將變更為 pendingIncapable。
- 如果主機密碼編譯狀態為 pendingIncapable,則主機密碼編譯狀態仍為 pendingIncapable。
此工作顯示了如何使用 vCenter Server 受管理物件瀏覽器 (MOB) 停用主機加密模式。如需有關使用 API 的詳細資訊,請參閱 vSphere Web Services API 說明文件,網址為 https://developer.vmware.com/apis/968/vsphere。
程序
結果
停用主機加密模式後,除非重新啟用主機加密模式,否則無法執行加密作業,例如新增已加密虛擬機器。
備註: 將已停用加密模式的
ESXi 主機重新開機後,如果主機密碼編譯狀態最初為 pendingIncapable,則主機密碼編譯狀態仍為 pendingIncapable。若要重新啟用主機加密模式,請重新存取
vCenter Server MOB 並叫用
ConfigureCryptoKey API 方法。重新啟用主機加密模式時,如果主機密碼編譯狀態為 pendingIncapable,請使用原始主機金鑰識別碼。