Uma máquina virtual clonada e criptografada é criptografada com as mesmas chaves, a menos que você as altere. Para alterar chaves, você pode usar o vSphere Client, o PowerCLI ou a API. Se você usar o PowerCLI ou a API, poderá clonar a máquina virtual criptografada e alterar as chaves em uma etapa.

Você pode realizar as seguintes operações durante a clonagem.

  • Crie uma máquina virtual criptografada a partir de uma máquina virtual não criptografada ou de uma máquina virtual de modelo.
  • Crie uma máquina virtual descriptografada a partir de uma máquina virtual criptografada ou de uma máquina virtual de modelo.
  • Recriptografe a máquina virtual de destino com chaves diferentes daquelas da máquina virtual de origem.
  • No vSphere 8.0 e posterior, selecionar a opção Substituir (Replace) para uma máquina virtual com um vTPM começa com um novo vTPM em branco, que obtém seus próprios segredos e identidade.
Observação: O vSphere 8.0 e posterior inclui a configuração avançada vpxd.clone.tpmProvisionPolicy para tornar o comportamento de clonagem padrão para vTPMs como "substituir".

Você pode criar uma máquina virtual de clone instantâneo a partir de uma máquina virtual criptografada com o cuidado de que o clone instantâneo compartilha a mesma chave com a máquina virtual de origem. Não é possível criptografar novamente chaves na máquina virtual de origem ou de clone instantâneo.

Para usar a API para clonar máquinas criptografadas, consulte vSphere Web Services SDKGuia de programação.

Pré-requisitos

  • Um provedor de chaves deve ser configurado e habilitado.
  • Crie uma política de armazenamento de criptografia ou use o exemplo em pacote, Política de Criptografia de VM.
  • Privilégios necessários (aplica-se a todos os principais provedores):
    • Operações criptográficas.Clone
    • Operações criptográficas.Criptografia
    • Operações criptográficas.Descriptografar
    • Operações criptográficas.Recriptografar
    • Se o modo de criptografia do host não estiver ativado, você também deverá ter privilégios Operações criptográficas.Registrar host.

Procedimento

  1. Procure a máquina virtual no inventário vSphere Client.
  2. Para criar um clone de uma máquina criptografada, clique com o botão direito do mouse na máquina virtual, selecione Clone > Clone to Virtual Machine e siga os prompts.
    1. Na página Selecionar um nome e uma pasta (Select a name and folder), especifique um nome e o local de destino para o clone.
    2. Na página Selecionar um recurso de processamento (Select a compute resource), especifique um objeto para o qual você tenha privilégios.
    3. (Opcional) Altere as chaves para o vTPM clonado.
      Figura 1. Selecionar política de provisionamento do TPM
      Esta captura de tela mostra as opções para a política de provisionamento do TPM ao clonar uma máquina virtual que tem um vTPM.
      A clonagem de uma máquina virtual duplica toda a máquina virtual, incluindo o vTPM e seus segredos, que podem ser usados para determinar a identidade de um sistema. Para alterar segredos em um vTPM, selecione Substituir (Replace) para Política de provisionamento do TPM (TPM Provision Policy).
      Observação: Quando você substitui os segredos de um vTPM, todas as chaves, incluindo as relacionadas à carga de trabalho, são substituídas. Como prática recomendada, certifique-se de que suas cargas de trabalho não usem mais um vTPM antes de substituir as chaves. Caso contrário, as cargas de trabalho na máquina virtual clonada podem não funcionar corretamente.
    4. Na página Selecionar armazenamento (Select storage), selecione um armazenamento de dados. Você pode alterar a política de armazenamento como parte da operação de clonagem. Por exemplo, a alteração do uso de uma política de criptografia para uma política de não criptografia descriptografa os discos.
    5. Na página Selecionar opções de clone (Select clone options), selecione opções de clone, conforme discutido na documentação vSphere Administração de máquina virtual.
    6. Na página Pronto para concluir (Ready to complete), revise as informações e clique em Concluir (Finish).
  3. (Opcional) Altere as chaves para a máquina virtual clonada.
    Por padrão, a máquina virtual clonada é criada com as mesmas chaves que seu pai. A prática recomendada é alterar as chaves da máquina virtual clonada para garantir que várias máquinas virtuais não tenham as mesmas chaves.
    1. Decida sobre uma nova criptografia superficial ou profunda.
      Para usar uma DEK e uma KEK diferentes, realize uma nova criptografia profunda da máquina virtual clonada. Para usar uma KEK diferente, realize uma nova criptografia superficial da máquina virtual clonada. Para uma nova criptografia profunda, você deve desligar a máquina virtual. Você pode executar uma operação de criptografia superficial enquanto a máquina virtual está ligada e se a máquina virtual tiver snapshots presentes. A criptografia superficial de uma máquina virtual criptografada com snapshots é permitida somente em uma única ramificação de snapshot (cadeia de disco). Não há suporte para várias ramificações de snapshot. Se a criptografia superficial falhar antes de atualizar todos os links na cadeia com a nova KEK, você ainda poderá acessar a máquina virtual criptografada se tiver as KEKs antigas e novas.
    2. Realize uma nova criptografia do clone usando a API. Consulte vSphere Web Services SDKGuia de programação.