盡管虛擬機加密技術(shù)已經(jīng)出現(xiàn)一段時間，但是仍然存在很多問題，因此VMware希望通過vSphere 6.5的全新虛擬機加密工具改變這種現(xiàn)狀。

盡管虛擬機加密技術(shù)能夠限制未授權(quán)訪問從而提升系統(tǒng)安全性，但是這種技術(shù)一直以來發(fā)展十分緩慢，主要原因在于系統(tǒng)存在的各種問題。VMware希望vSphere 6.5中的VM Encryption 工具能夠幫助解決這些問題。vSphere 6.5 VM Encryption并不直接針對guest OS，而是虛擬機文件系統(tǒng)的hypervisor。使用這種方式，不論guest OS是Windows還是Linux，都不需要安裝任何客戶端軟件。

VM Encryption工作原理

VM Encryption通過存儲策略進行管理。vSphere 6.5提供了存儲策略管理(Storage Policy-Based Management)系統(tǒng)，管理員可以使用其創(chuàng)建策略，為虛擬磁盤和虛擬機配置文件定義存儲需求。

如圖A所示，在虛擬機存儲策略頁面，管理員可以更改VM Encryption的存儲策略樣例，之后將其應用到虛擬機對象，比如虛擬磁盤。

圖A.創(chuàng)建自定義VM Encryption策略

如果想要配置VM Encryption，管理員必須首先添加KMS(密鑰管理服務器)，因為其并不是系統(tǒng)內(nèi)置組件;管理員可以選擇任何一種可用——或者免費——產(chǎn)品。選擇vCenter Server，之后遵循如下步驟：Management->Key Management Service-> Add Server。

虛擬機和虛擬磁盤控制器之間所有的I/O流量都會通過內(nèi)核模塊進行加密，這也是ESXi hypervisor的一部分。之后這些I/O會被發(fā)送到存儲層。

“加密”意味著什么?

所有虛擬機文件——包括VMDK、VMX配置文件、快照文件以及VMX交換文件——都會被存儲在文件夾中，因此這些文件都將會被加密。

加密由hypervisor進行管理，而不是guest VM，因此訪問虛擬機內(nèi)存并不能獲取密鑰。

如何在vMotion中使用VM Encryption功能

管理員還可以在vMotion過程中對虛擬機進行加密。一旦虛擬機需要進行vMotion遷移， vCenter Server將會生成一個隨機的256位密鑰，之后將其封裝發(fā)送到vMotion的相關(guān)主機。

vMotion就可以使用這個密鑰來加密數(shù)據(jù)了。

管理員可以選擇對虛擬機還是vMotion進行加密，但是需要注意的是只有在對虛擬機加密之后才能進行vMotion加密。

相關(guān)功能在虛擬機硬件層實現(xiàn)。如圖B所示，加密vMotion為管理員提供了三種選項： Disabled、 Opportunistic或者Required。 Disabled表示不使用vMotion加密功能， Opportunistic表示僅當目標主機支持時才對vMotion進行加密，否則其使用非加密vMotion。而***一種方式 Required，表示管理員需要對vMotion進行加密，系統(tǒng)將會對目標主機——vSphere 6.5——進行檢查，查看其是否支持加密，如果不支持，那么vMotion將會失敗。

圖B. 加密的vMotion加密選項

配置虛擬機加密的過程非常簡單。如果管理員已經(jīng)配置好KMS，那么只需要將vCenter Server重定向到KMS服務器，創(chuàng)建加密策略并且應用到指定虛擬機，加密vMotion流量也非常簡單，但是需要兩端都使用***的ESXi 6.5。