複製加密虛擬機器時,將使用相同的金鑰加密複製品,除非您變更金鑰。若要變更金鑰,您可以使用vSphere Client、PowerCLI或 API。

如果使用 PowerCLI 或 API,則可以在一個步驟中複製加密的虛擬機器並變更金鑰。如需詳細資訊,請參閱《vSphere Web Services SDK 程式設計指南》

您可以在複製期間執行下列作業。
  • 從未加密的虛擬機器或虛擬機器範本建立加密的虛擬機器。
  • 從加密的虛擬機器或虛擬機器範本建立解密的虛擬機器。
  • 使用與來源虛擬機器金鑰不同的金鑰來雙重加密目的地虛擬機器。
  • 從 vSphere 8.0 開始,針對具有 vTPM 裝置的虛擬機器選取取代選項時,會從一個新的空白 vTPM 開始,該 vTPM 將取得自己的密碼和身分識別。
備註: vSphere 8.0 包含 vpxd.clone.tpmProvisionPolicy 進階設定,可將 vTPMs 的預設複製行為設定為「取代」。
您可以從加密的虛擬機器建立即時複製虛擬機器,並注意即時複製品將與來源虛擬機器共用相同的金鑰。無法雙重加密來源或即時複製虛擬機器上的金鑰。請參閱 《vSphere Web Services SDK 程式設計指南》

必要條件

  • 必須設定並啟用金鑰提供者。
  • 建立加密儲存區原則,或使用綁定的範例「虛擬機器加密原則」。
  • 必要權限:
    • 密碼編譯作業.複製
    • 密碼編譯作業.加密
    • 密碼編譯作業.解密
    • 密碼編譯作業.雙重加密
    • 如果主機加密模式未啟用,則您還必須具有密碼編譯作業.登錄主機權限。

程序

  1. vSphere Client詳細目錄中,導覽至虛擬機器。
  2. 在虛擬機器上按一下滑鼠右鍵,然後選取複製 > 複製到虛擬機器 >
  3. 導覽精靈的各個頁面。
    1. 選取名稱和資料夾頁面上,輸入名稱,然後選取要在其中進行部署的資料中心或資料夾。
    2. 選取計算資源上,選取您有權建立加密虛擬機器的物件。如需加密工作的必要條件和所需權限的相關資訊,請參閱《vSphere 安全性》說明文件。
    3. 變更已複製 vTPM 的金鑰。

      複製虛擬機器會複製整個虛擬機器,包括 vTPM 及其可用於確定系統之身分識別的密碼。若要變更 vTPM 上的密碼,請對 TPM 佈建原則選取取代

      備註:

      取代 vTPM 的密碼時,將取代所有金鑰,包括工作負載相關金鑰。最佳做法是,在取代金鑰之前,確保工作負載不再使用 vTPM。否則,已複製虛擬機器中的工作負載可能無法正常運作。

    4. 選取儲存區頁面上,選取用於儲存範本組態檔和所有虛擬磁碟的資料存放區或資料存放區叢集。可以在複製作業進行時變更儲存區原則。例如,從使用加密原則變更為使用非加密原則會解密磁碟。
    5. 選取複製選項上,選取其他自訂選項。
    6. 即將完成頁面上,檢閱資訊並按一下完成
  4. (選擇性) 變更已複製虛擬機器的金鑰。
    依預設,會使用與父系相同的金鑰建立複製的虛擬機器。最佳做法是變更已複製的虛擬機器金鑰,以確保多部虛擬機器沒有相同的金鑰。
    1. 確定淺層或深度雙重加密。

      若要使用不同的 DEK 和 KEK,請對已複製的虛擬機器執行深度雙重加密。若要使用不同的 KEK,請對已複製的虛擬機器執行淺層雙重加密。對於深度雙重加密,必須關閉虛擬機器電源。您可以在虛擬機器開啟電源且虛擬機器已有快照存在時執行淺層雙重加密作業。僅允許在單一快照分支 (磁碟鏈結) 上對具有快照的加密虛擬機器進行淺層雙重加密。不支援多個快照分支。如果淺層雙重加密在使用新 KEK 更新鏈結中的所有連結之前失敗,您仍可以存取加密的虛擬機器 (如果有舊 KEK 和新 KEK)。

    2. 使用 API 對複製品執行雙重加密。如需詳細資訊,請參閱《vSphere Web Services SDK 程式設計指南》