如何在 ESXi 中启用和配置虚拟机的加密功能？

在ESXi中启用虚拟机加密需使用vSphere Client：1. 创建加密策略（VM Encryption Policy）；2. 为虚拟机分配加密存储策略。延伸知识点：配置密钥管理服务器（KMS）是加密的前提。需在vCenter中注册KMS（如VMware Native Key Provider或第三方KMS），通过【菜单 > 管理 > 密钥管理服务器】添加，设置地址、端口并建立信任。完成后需将KMS标记为默认，并在创建加密存储策略时关联该KMS，确保加密密钥的安全生成和存储。

要在ESXi里给虚拟机加密，先确保你有vCenter和KMS（密钥管理服务器）配置好了。1. 在vCenter里进主机设置，找到加密模式选上。2. 去存储策略那里新建策略，勾选加密选项。3. 最后给虚拟机右键选编辑设置，应用加密存储策略就行。注意加密后虚拟机迁移和快照可能受影响，密钥千万记得备份好！

在ESXi中启用虚拟机加密需遵循以下步骤：

1. 环境验证：确保vSphere版本≥6.5且拥有Enterprise Plus许可证，需部署KMIP 1.1兼容的密钥管理服务器（如vSphere Native Key Provider或第三方KMS）。
2. 密钥配置：在vCenter的"主机"-"配置"-"安全配置"中注册密钥提供者，对于第三方KMS需完成证书双向信任。
3. 加密策略激活：通过虚拟机存储策略（VM Storage Policies）创建基于加密的规则，建议启用TPS优化减少内存开销。
4. 虚拟机部署：创建新虚拟机时选择加密存储策略，或对现有虚拟机通过"右键-虚拟机策略-编辑存储策略"进行在线加密（需VM硬件版本≥13）。
5. 运行时保护：启用vTPM 2.0可实现UEFI固件加密，配合Secure Boot提升启动过程安全性。

关键注意事项：加密会导致约15-20%的存储性能损耗，迁移加密虚拟机时需确保目标集群已预配相同密钥源，且备份需使用支持加密的VADP方案。

1. 准备KMS服务器：在vCenter中部署符合VMware标准的密钥管理服务器（KMS），并确保其与ESXi主机网络互通。
2. 添加KMS到vCenter：登录vSphere Client，进入菜单 > 管理 > 密钥管理服务器，点击添加KMS，填写KMS地址及证书信息，完成信任配置。
3. 设置默认加密策略：在vCenter的主机与集群视图中，右键目标虚拟机，选择策略 > 编辑存储策略，创建或选择包含加密选项的存储策略。
4. 启用虚拟机加密：
   • 新虚拟机：创建时选择加密存储策略。
   • 现有虚拟机：关机后右键虚拟机，选择虚拟机策略 > 加密虚拟机，按提示绑定KMS密钥。
5. 验证加密状态：在虚拟机摘要页面检查加密字段状态，或通过命令行执行vmkfstools -v查看磁盘加密标识。

注：需确保用户权限包含“Cryptographic Operations”，且备份KMS密钥以防数据丢失。

在vSphere Client中，通过vCenter配置KMIP服务器并生成加密密钥后，在虚拟机选项的"加密"部分启用加密功能即可。需确保主机满足加密要求并分配相应存储策略。