O vSphere Virtual Machine Encryption tem algumas limitações em relação a dispositivos e recursos com os quais pode interoperar.
As limitações e observações a seguir referem-se ao uso de vSphere Virtual Machine Encryption. Para obter informações semelhantes sobre como usar a criptografia vSAN, consulte a documentação do Administração de VMware vSAN.
Limitações em determinadas tarefas de criptografia
Algumas restrições se aplicam ao executar determinadas tarefas em uma máquina virtual criptografada.
- Para a maioria das operações criptografadas de máquinas virtuais, você deve desligar a máquina virtual. Você pode clonar uma máquina virtual criptografada e realizar uma nova criptografia superficial enquanto a máquina virtual está ligada.
Observação: As máquinas virtuais configuradas com controladores IDE devem ser desligadas para executar uma operação de rechaveamento superficial.
- Você não pode executar uma criptografia profunda em uma máquina virtual com snapshots. Você pode executar uma nova criptografia superficial em uma máquina virtual com snapshots.
Dispositivos do Módulo de Plataforma Confiável Virtual e vSphere Virtual Machine Encryption
Um Trusted Platform Module (vTPM) virtual é uma representação baseada em software de um chip físico do Trusted Platform Module 2.0. Você pode adicionar um vTPM a uma máquina virtual nova ou existente. Para adicionar um vTPM a uma máquina virtual, você deve configurar um provedor de chaves em seu ambiente vSphere. Quando você configura um vTPM, os arquivos “home” da máquina virtual são criptografados (troca de memória, arquivos NVRAM e assim por diante). Os arquivos de disco, ou arquivos VMDK, não são criptografados automaticamente. Você pode optar por adicionar criptografia explicitamente para os discos da máquina virtual.
No vSphere 8.0 e posterior, ao clonar uma máquina virtual que inclui um vTPM, você pode optar por iniciar com um novo vTPM em branco, que obtém seus próprios segredos e identidade.
vSphere Virtual Machine Encryption and Suspended State and Snapshots
Você pode retomar de um estado suspenso de uma máquina virtual criptografada ou reverter para um snapshot de memória de uma máquina criptografada. Você pode migrar uma máquina virtual criptografada com snapshot de memória e estado suspenso entre ESXi hosts.
vSphere Virtual Machine Encryption e IPv6
Você pode usar vSphere Virtual Machine Encryption com o modo IPv6 puro ou no modo misto. Você pode configurar o servidor de chaves com endereços IPv6. Você pode configurar o vCenter Server e o servidor de chaves apenas com endereços IPv6.
Limitações à clonagem em vSphere Virtual Machine Encryption
-
Os clones completos são compatíveis. O clone herda o estado de criptografia pai, incluindo chaves. Você pode criptografar o clone completo, criptografar novamente o clone completo para usar novas chaves ou descriptografar o clone completo.
Os clones vinculados são compatíveis, e o clone herda o estado de criptografia principal, incluindo as chaves. Você não pode descriptografar o clone vinculado ou criptografar novamente um clone vinculado com chaves diferentes.
Observação: Verifique se outros aplicativos oferecem suporte a clones vinculados. Por exemplo, o VMware Horizon ® 7 oferece suporte a clones completos e clones instantâneos, mas não a clones vinculados. - O clone instantâneo é compatível com todos os tipos de provedor de chaves, mas não é possível alterar as chaves de criptografia no clone.
- Você pode criar uma máquina virtual clone vinculada a partir de uma máquina virtual criptografada. A máquina virtual clone vinculada contém as mesmas chaves. Você pode rechavear os arquivos "iniciais" da máquina virtual criptografada de um clone vinculado, mas não pode rechavear os discos.
Limitações com vSphere Native Key Provider
Certas operações não são compatíveis com vSphere Native Key Provider.
- Você não pode usar vSphere Native Key Provider para criptografar máquinas virtuais em um host autônomo. O host deve residir em um cluster para usar vSphere Native Key Provider.
- Você não pode mover um host que contém máquinas virtuais criptografadas usando vSphere Native Key Provider para um cluster diferente, a menos que o cluster de destino contenha o mesmo vSphere Native Key Provider. (As máquinas virtuais criptografadas no host movido ficam bloqueadas quando as chaves de criptografia não estão presentes e o cluster de destino não tem o mesmo vSphere Native Key Provider.)
- Você não pode registrar uma máquina virtual criptografada por vSphere Native Key Provider em um host herdado devido à falta de suporte para vSphere Native Key Provider.
- Você não pode registrar uma máquina virtual criptografada por vSphere Native Key Provider em um host autônomo devido aos requisitos para o host residir em um cluster.
Configurações de disco não compatíveis com vSphere Virtual Machine Encryption
Certos tipos de configurações de disco de máquina virtual não são compatíveis com o vSphere Virtual Machine Encryption.
- RDM (Mapeamento de Dispositivo Bruto). No entanto, vSphere Virtual Volumes (vVols) são compatíveis.
- Discos compartilhados ou com vários gravadores (MSCS, WSFC ou Oracle RAC). Há suporte para arquivos "iniciais" de máquina virtual criptografada para discos com várias gravadoras. Não há suporte para discos virtuais criptografados em discos com várias gravadoras. Se você tentar selecionar Multigravador na página Editar configurações (Edit Settings) da máquina virtual com discos virtuais criptografados, o botão OK será desativado.
Limitações Diversas em vSphere Virtual Machine Encryption
Outros recursos que não funcionam com o vSphere Virtual Machine Encryption incluem o seguinte.
- vSphere ESXi Coletor de Despejo
- Biblioteca de conteúdo
- As bibliotecas de conteúdo oferecem suporte a dois tipos de modelos, o tipo de modelo OVF e o tipo de modelo de VM. Você não pode exportar uma máquina virtual criptografada para o tipo de modelo OVF. A Ferramenta OVF não oferece suporte a máquinas virtuais criptografadas. Você pode criar modelos de VM criptografados usando o tipo de modelo de VM. No vSphere 8.0 e posterior, o comando ovftool inclui uma opção para adicionar um espaço reservado do vTPM ao arquivo descritor OVF. Ao implantar uma máquina virtual a partir desse modelo, o vCenter Server cria um vTPM com segredos exclusivos na máquina virtual de destino. Consulte a documentação vSphereAdministração de máquina virtual.
- O software para fazer backup de discos virtuais criptografados deve usar a VMware vSphere API de armazenamento - Proteção de dados (VADP) para fazer backup dos discos no modo de adição a quente ou no modo NBD com SSL ativado. No entanto, nem todas as soluções de backup que usam VADP para backup em disco virtual são compatíveis. Verifique com seu fornecedor de backup para obter detalhes.
- As soluções de modo de transporte VADP SAN não são compatíveis com o backup de discos virtuais criptografados.
- As soluções VADP Hot-Add são compatíveis com discos virtuais criptografados. O software para backup deve oferecer suporte à criptografia da VM proxy que é usada como parte do fluxo de trabalho de backup hot-add. O fornecedor deve ter o privilégio .
- As soluções de backup que usam os modos de transporte NBD-SSL são compatíveis com o backup de discos virtuais criptografados. O aplicativo do fornecedor deve ter o privilégio .
- Você não pode enviar a saída de uma máquina virtual criptografada para uma porta serial ou paralela. Mesmo que a configuração pareça bem-sucedida, a saída é enviada para um arquivo.
- vSphere Virtual Machine Encryption não é compatível com VMware Cloud on AWS. Consulte a documentação Gerenciando o VMware Cloud on AWScentro de dados.
