尽管虚拟机加密技术已经出现一段时间，但是仍然存在很多问题，因此VMware希望通过vSphere 6.5的全新虚拟机加密工具改变这种现状。

　　尽管虚拟机加密技术能够限制未授权访问从而提升系统安全性，但是这种技术一直以来发展十分缓慢，主要原因在于系统存在的各种问题。VMware希望vSphere 6.5中的VM Encryption 工具能够帮助解决这些问题。vSphere 6.5 VM Encryption并不直接针对guest OS，而是虚拟机文件系统的hypervisor。使用这种方式，不论guest OS是Windows还是Linux，都不需要安装任何客户端软件。

　　VM Encryption工作原理

　　VM Encryption通过存储策略进行管理。vSphere 6.5提供了存储策略管理(Storage Policy-Based Management)系统，管理员可以使用其创建策略，为虚拟磁盘和虚拟机配置文件定义存储需求。

　　如图A所示，在虚拟机存储策略页面，管理员可以更改VM Encryption的存储策略样例，之后将其应用到虚拟机对象，比如虚拟磁盘。

　　如果想要配置VM Encryption，管理员必须首先添加KMS(密钥管理服务器)，因为其并不是系统内置组件;管理员可以选择任何一种可用——或者免费——产品。选择vCenter Server，之后遵循如下步骤：Management->Key Management Service-> Add Server。

　　虚拟机和虚拟磁盘控制器之间所有的I/O流量都会通过内核模块进行加密，这也是ESXi hypervisor的一部分。之后这些I/O会被发送到存储层。

　　“加密”意味着什么?

　　所有虚拟机文件——包括VMDK、VMX配置文件、快照文件以及VMX交换文件——都会被存储在文件夹中，因此这些文件都将会被加密。

　　加密由hypervisor进行管理，而不是guest VM，因此访问虚拟机内存并不能获取密钥。

　　如何在vMotion中使用VM Encryption功能

　　管理员还可以在vMotion过程中对虚拟机进行加密。一旦虚拟机需要进行vMotion迁移， vCenter Server将会生成一个随机的256位密钥，之后将其封装发送到vMotion的相关主机。

　　vMotion就可以使用这个密钥来加密数据了。

　　管理员可以选择对虚拟机还是vMotion进行加密，但是需要注意的是只有在对虚拟机加密之后才能进行vMotion加密。

　　相关功能在虚拟机硬件层实现。如图B所示，加密vMotion为管理员提供了三种选项： Disabled、 Opportunistic或者Required。 Disabled表示不使用vMotion加密功能， Opportunistic表示仅当目标主机支持时才对vMotion进行加密，否则其使用非加密vMotion。而最后一种方式 Required，表示管理员需要对vMotion进行加密，系统将会对目标主机——vSphere 6.5——进行检查，查看其是否支持加密，如果不支持，那么vMotion将会失败。

　　配置虚拟机加密的过程非常简单。如果管理员已经配置好KMS，那么只需要将vCenter Server重定向到KMS服务器，创建加密策略并且应用到指定虚拟机，加密vMotion流量也非常简单，但是需要两端都使用最新的ESXi 6.5。

本文由职坐标整理并发布，希望对同学们有所帮助。了解更多详情请关注职坐标系统运维之Vmware频道！