O vSphere vMotion sempre usa criptografia ao migrar máquinas virtuais criptografadas. Para máquinas virtuais que não são criptografadas, você pode selecionar uma das opções de criptografia vSphere vMotion.
O vSphere vMotion criptografado protege a confidencialidade, a integridade e a autenticidade dos dados que são transferidos com o vSphere vMotion. O vSphere oferece suporte ao vMotion criptografado de máquinas virtuais criptografadas e não criptografadas em instâncias do vCenter Server.
O que está criptografado
Para discos criptografados, os dados são transmitidos criptografados. Para discos que não são criptografados, a criptografia Storage vMotion não é compatível.
Para máquinas virtuais que são criptografadas, a migração com o vSphere vMotion sempre usa o vSphere vMotion criptografado. Você não pode desativar o vSphere vMotion criptografado para máquinas virtuais criptografadas.
Estados vSphere vMotion criptografados
- Desativado
- Não use criptografado vSphere vMotion.
- Oportunista
- Use criptografado vSphere vMotion se os hosts de origem e de destino suportarem. Apenas as ESXi versões 6.5 e posteriores usam o vSphere vMotion criptografado.
- Obrigatório
- Permitir apenas criptografado vSphere vMotion. Se o host de origem ou de destino não oferecer suporte a vSphere vMotion criptografado, a migração com vSphere vMotion não será permitida.
Quando você criptografa uma máquina virtual, a máquina virtual mantém um registro da configuração criptografada atual do vSphere vMotion. Se você desativar a criptografia mais tarde para a máquina virtual, a configuração do vMotion criptografado permanecerá em Obrigatório até que você altere a configuração explicitamente. Você pode alterar as configurações usando Editar configurações (Edit Settings).
Migrando ou clonando máquinas virtuais criptografadas em vCenter Server instâncias
O vSphere vMotion oferece suporte à migração e clonagem de máquinas virtuais criptografadas em instâncias do vCenter Server.
Ao migrar ou clonar máquinas virtuais criptografadas em instâncias de vCenter Server, as instâncias de origem e de destino de vCenter Server devem ser configuradas para compartilhar o provedor de chaves que foi usado para criptografar a máquina virtual. Além disso, o nome do provedor de chaves deve ser o mesmo nas instâncias de origem e de destino vCenter Server e ter as seguintes características:
- Provedor de chaves padrão: o mesmo servidor de chaves (ou servidores de chaves) deve estar no provedor de chaves.
- Provedor de chave confiável: o mesmo serviço vSphere Trust Authority deve ser configurado no host de destino.
- Provedor de chave nativa do vSphere: deve ter o mesmo KDK.
O destino vCenter Server garante que o host de destino ESXi tenha o modo de criptografia habilitado, garantindo que o host seja criptograficamente "seguro".
Os seguintes privilégios são necessários ao usar o vSphere vMotion para migrar ou clonar uma máquina virtual criptografada em instâncias do vCenter Server.
- Migrando: na máquina virtual
- Clonagem: na máquina virtual
Além disso, o destino vCenter Server deve ter o privilégio . Se o host de destino ESXi não estiver no modo "seguro", o privilégio de também deve estar no destino vCenter Server.
Determinadas tarefas não são permitidas ao migrar máquinas virtuais (não criptografadas ou criptografadas), nas mesmas instâncias de vCenter Server ou entre vCenter Server.
- Você não pode alterar a política de armazenamento da VM.
- Você não pode realizar uma alteração de chave.
Requisitos mínimos para migrar ou clonar máquinas virtuais criptografadas em instâncias do vCenter Server
Os requisitos mínimos de versão para migrar ou clonar máquinas virtuais criptografadas do provedor de chaves padrão em instâncias do vCenter Server usando vSphere vMotion são:
- As instâncias de origem e de destino vCenter Server devem estar na versão 7.0 ou posterior.
- Os hosts de origem e de destino ESXi devem estar na versão 6.7 ou posterior.
Os requisitos mínimos de versão para migrar ou clonar máquinas virtuais criptografadas do provedor de chaves confiáveis em instâncias do vCenter Server usando vSphere vMotion são:
- O serviço vSphere Trust Authority deve ser configurado para o host de destino e o host de destino deve ser atestado.
- A criptografia não pode ser alterada na migração. Por exemplo, um disco não criptografado não pode ser criptografado enquanto a máquina virtual é migrada para o novo armazenamento.
- Você pode migrar uma máquina virtual criptografada padrão para um host confiável. O nome do provedor de chaves deve ser o mesmo nas instâncias de origem e de destino do vCenter Server.
- Você não pode migrar uma máquina virtual criptografada vSphere Trust Authority para um host não confiável.
Trusted Key Provider vMotion e Cross- vCenter Server vMotion
O provedor de chave confiável é totalmente compatível com o vMotion em ESXi hosts.
O Cross- vCenter Server vMotion é compatível, mas com as seguintes restrições.
- O serviço confiável necessário deve ser configurado no host de destino e o host de destino deve ser atestado.
- A criptografia não pode ser alterada na migração. Por exemplo, um disco não pode ser criptografado enquanto a máquina virtual é migrada para o novo armazenamento.
Ao executar o vMotion entre vCenter Server, o vCenter Server verifica se o provedor de chave confiável está disponível no host de destino e se o host tem acesso a ele.
vSphere Native Key Provider vMotion e Cross- vCenter Server vMotion
O vSphere Native Key Provider oferece suporte ao vMotion e ao vMotion criptografado em ESXi hosts. O vMotion Cross- vCenter Server será compatível se o vSphere Native Key Provider estiver configurado no host de destino.