tft每日頭條

 > 圖文

 > vsphere 虛拟機自動啟動

vsphere 虛拟機自動啟動

圖文 更新时间:2025-06-10 12:00:20

面對越來越猖獗的黑客攻擊,企業數據安全已經成為 CIO 們日程表中頭等重要的大事。數據安全是一個系統性的工程,從用戶終端到後台數據中心有着幾十個環節,防火牆、身份認證、應用數據加密每一種技術都隻能解決某些環節的安全問題,隻要有一個環節沒有做好安全防護,還是會留下安全隐患。

vsphere 虛拟機自動啟動(vSphere虛拟機加密)1

虛機加密工作原理

vSphere 采用對稱加密算法 XTS-AES-256 來對虛機進行加密,對虛機文件和加密密鑰一起經過特殊加密算法處理後,使其變成複雜的加密數據。高級加密标準 AES (Advanced Encryption Standard) 是美國聯邦政府采用的一種區塊加密标準。XTS-AES 算法是 2008 年發布的,是目前數據存儲領域廣泛使用的一種加密算法。AES 加密密鑰長度可以是128比特、192比特、256比特中的任意一個,密鑰長度越長越難破解,XTS-AES-256 采用的是256比特長度密鑰。

虛機加密是通過 ESXi 内核完成的,為了優化性能,ESXi 會調用 CPU 的 AES-NI (Advanced encryption Standard – New Instruction) 指令集,通過硬件來加速加密算法,Intel 的 CPU 從 Westmere 開始就全面支持 ASE-NI 指令集。

對一個虛機進行加密是通過修改存儲策略來完成的,虛機本身不需要做任何修改和配置。管理員可以很方便地把一個現有的虛機進行加密,或者是把已經加密的虛機改成不加密的。

vsphere 虛拟機自動啟動(vSphere虛拟機加密)2

密鑰管理

對稱加密算法 XTS-AES-256 需要兩個密鑰:

  • 數據密鑰 DEK (Data Encryption Key):用于加密虛機數據文件,每個虛機都有一個唯一的數據密鑰,存放在虛機數據文件中,為了不讓别人看到這個密鑰,所以我們需要另一個密鑰 KEK 來對數據密鑰進行加密。
  • 加密密鑰的密鑰 KEK (Key Encryption Key):用于對上面的數據密鑰 DEK 進行加密,這個密鑰是從第三方的密鑰管理服務器 KMS (Key Management Server) 上獲得的。因為 KMS 也支持多租戶架構,我們通常把這個密鑰稱為租戶密鑰(Tenant Key)。注意:租戶密鑰隻保存在 KMS 服務器上。

vsphere 虛拟機自動啟動(vSphere虛拟機加密)3

vSphere 在虛拟機加密和解密過程中對于密鑰的管理流程是這樣的:1. 未加密虛機(必須是處于關機狀态)在對應的服務器上随機生成一個數據密鑰 DEK;通過 vCenter 從 KMS 上獲得租戶密鑰 KEK;使用租戶密鑰 KEK 對數據密鑰 DEK 進行加密,并寫入虛機的 vmx 文件;使用數據密鑰 DEK 來加密整個虛機數據文件。

2. 已經加密的虛機從虛機的 vmx 文件中獲得 KEK ID 和加密的數據密鑰;通過 vCenter 從第三方密鑰服務器上根據 KEK ID 獲得租戶密鑰 KEK;利用 KEK 解密獲得數據密鑰 DEK;利用數據密鑰 DEK 來解密虛機數據文件。

vsphere 虛拟機自動啟動(vSphere虛拟機加密)4

下面就是一個存放在 vmx 文件中的數據密鑰例子,其中 encryption.keySafe 那一行是 KEY ID,下一行 encryption.data 是被加密的數據密鑰的數據部分。

vsphere 虛拟機自動啟動(vSphere虛拟機加密)5

指定第三方 KMS 服務器

vSphere 虛機加密采用的是客戶自帶密鑰 (Bring-Your-Own-Key) 的策略,有這方面要求的客戶大部分都已經部署了密鑰管理服務器,我們隻需要在 vCenter 中指定客戶現有的 KMS 服務器就可以了。當然必須要考慮 KMS 服務器高可靠和災備的方案,不然一旦發生故障,取不到 KEK 密鑰,所有的加密虛機可就啟動不起來了。

理論上,凡是兼容 KMIP (Key Management Interoperability Protocol) 1.1 的 KMS 服務器都可以接入 vCenter,以下是 vSphere 6.5 支持的部分 KMS 廠商。

vsphere 虛拟機自動啟動(vSphere虛拟機加密)6

加密的 VMOTION

虛機加密了,自然引入了一個新的概念 - “加密的 vMotion”,虛機數據不但在存儲裡面是加密的,而且在 vMotion 的過程中也是加密的。vCenter 中關于虛機的配置也多了一個加密的 vMotion 選項,總共有三個選擇:

  • Disabled(關閉):vMotion 所傳輸的虛機數據不加密。
  • Opportunistic(看情況):如果源和目标服務器都支持虛機加密,就使用加密 vMotion;隻要有一方不支持,vMotion 就不采用加密數據。
  • Required(強制要求):僅允許加密的 vMotion,源和目标服務器隻要有一方不支持虛機加密,vMotion 就不會發生,這适用于高安全循規要求。

vsphere 虛拟機自動啟動(vSphere虛拟機加密)7

,

更多精彩资讯请关注tft每日頭條,我们将持续为您更新最新资讯!

查看全部

相关圖文资讯推荐

热门圖文资讯推荐

网友关注

Copyright 2023-2025 - www.tftnews.com All Rights Reserved