VMware Workstation的加密特性能夠防止非授權(quán)用戶訪問虛擬機(jī)的敏感數(shù)據(jù)。本文帶你了解采用Workstation加密技術(shù)對虛擬機(jī)訪問進(jìn)行控制的配置及其局限性。
加密為虛擬機(jī)提供了保護(hù),限制了用戶對虛擬機(jī)的修改。在生產(chǎn)環(huán)境中,你不希望在沒有獲取正確密碼的情況下就能夠啟動(dòng)虛擬機(jī),因?yàn)榉鞘跈?quán)用戶可能會(huì)因此獲取敏感數(shù)據(jù)。
圖1. VMware Workstation訪問控制鏈接用于配置虛擬機(jī)的加密及限制選項(xiàng)
用戶需要輸入解密密碼才能訪問已加密的虛擬機(jī)。沒有解密密碼,就無法訪問加密虛擬機(jī)的VMDK文件。VMware Workstation加密位于物理計(jì)算硬件的啟動(dòng)密碼之上。如果是物理計(jì)算機(jī),你可以輕松地取出它的硬盤然后安裝在任意一個(gè)位置就能訪問硬盤上的數(shù)據(jù)。
如何創(chuàng)建加密虛擬機(jī)
只有在虛擬機(jī)安裝完成后,你才能進(jìn)行加密操作。安裝完后,關(guān)閉該虛擬機(jī),然后在VMware Workstation的主界面中選中該虛擬機(jī),單擊“編輯虛擬機(jī)設(shè)置”然后打開選項(xiàng)卡。然后選擇“訪問控制”選項(xiàng)(見圖1)。
單擊“加密”,然后輸入加密密碼(需輸入兩次)。加密時(shí)間長短與虛擬機(jī)的大小以及主機(jī)的處理能力相關(guān)。時(shí)間可能會(huì)很長——有的可能會(huì)達(dá)到數(shù)小時(shí)。加密過程完成后,在啟動(dòng)虛擬機(jī)之前需要再次輸入密碼。
有時(shí),你可能想移除虛擬機(jī)的加密屬性,比如當(dāng)將虛擬機(jī)從Workstation遷移到vSphere的時(shí)候??梢詫υ谙鄬Σ话踩膫€(gè)人workstation環(huán)境中創(chuàng)建的虛擬機(jī)進(jìn)行加密。在被保護(hù)的vSphere數(shù)據(jù)中心環(huán)境中使用該虛擬機(jī)時(shí)再進(jìn)行解密。VMware不支持將已加密的虛擬機(jī)上傳至遠(yuǎn)程服務(wù)器,因此在將虛擬機(jī)遷移至vSphere之前必須移除虛擬機(jī)的加密屬性。為了與其他用戶共享,你需要移除虛擬機(jī)的加密屬性,因?yàn)榧用芩惴ò吮镜赜?jì)算機(jī)的信息。多臺計(jì)算機(jī)并不能共享訪問已經(jīng)加密的虛擬機(jī)。
圖2. 在Workstation中如何移除加密或更改加密密碼
移除加密和給虛擬機(jī)加密一樣簡單。在虛擬機(jī)屬性中,單擊“編輯虛擬機(jī)設(shè)置”。輸入密碼并反選加密選項(xiàng)就可以移除虛擬機(jī)的加密屬性。在這個(gè)界面中你同樣可以更改加密密碼。
有些管理員可能會(huì)認(rèn)為加密會(huì)對虛擬機(jī)的性能造成不良影響,但是事實(shí)并非如此。在你解密虛擬機(jī)時(shí),需要進(jìn)行額外的運(yùn)算。一旦虛擬機(jī)被打開,就可以像訪問其它正常的虛擬機(jī)一樣使用已經(jīng)解密的虛擬機(jī)了。
盡管VMware Workstation加密為更好的保護(hù)虛擬機(jī)提供了幫助,但是卻帶來了一些風(fēng)險(xiǎn)同時(shí)也存在一些局限性。比如,如果忘記了密碼,那么就不能訪問該虛擬機(jī)了。已經(jīng)加密的虛擬機(jī)同樣不能在共享環(huán)境中正常使用,共享環(huán)境包括將虛擬機(jī)從Workstation遷移至vSphere以及Workstation環(huán)境中的多用戶訪問場景。