更新时间:2023-12-07
功能说明
指导管理员对关机状态下的云主机进行磁盘加密,常用于重要云主机提高安全防护场景。
注意事项
- 云主机加密需在SCP侧操作,用户主密钥保存在SCP侧,数据密钥保存在HCI侧,当SCP与HCI通信异常时,加密云主机无法正常开机,需要解决通信异常后方可正常开机。
- 加密云主机不支持导出、克隆、模板部署、跨集群迁移、迁移到VMware、备份新建恢复操作。
- 加密云主机支持在SCP平台进行解密。
- 选择使用KMS加密的云主机在加密期间,如果发生SCP与KMS连接断开、SCP与HCI集群连接断开、所在运行位置的HCI主机脱离SCP纳管的情况,该云主机在关机后会因为没有密钥解密而无法使用;
- 启用加密的云主机性能会比不加密时下降30%-50%;
- 启用加密的云主机将不能使用CDP、容灾、克隆、导出、制作镜像;
- 加密过程需要一段时间且不支持开机等操作,建议您在业务空闲时处理;
前提条件
- SCP必须开通KMS服务,此操作在SCP平台即可开通
操作步骤
外置KMS服务器
进入[产品与服务/管理/安全管理/KMS管理]界面,点击<添加>按钮,添加KMS服务器至SCP平台。
密码机管理
进入[密码机管理]界面,点击<添加密码机>。
• 类型:目前支持两家密码机,三未信安选择类型A,吉大正元选择类型B。
• 密码机信息:配置密码机IP地址、端口、密码。支持添加多台密码机,最多10台。
一、云主机加密
进入[产品与服务/计算/云主机/]界面,选择需要进行加密的云主机,点击<更多/启用磁盘加密>,将普通云主机转为加密云主机。
二、云主机解密
进入[产品与服务/计算/云主机/]界面,选择需要进行解密的云主机,点击<更多/解除磁盘加密>,将加密云主机转为普通云主机。