VMware O Fault Tolerance (FT) captura entradas e eventos que ocorrem em uma máquina virtual primária e os envia para a máquina virtual secundária, que está em execução em outro host.

Esse tráfego de log entre as máquinas virtuais primária e secundária não é criptografado e contém dados de E/S de armazenamento e rede de convidado, bem como o conteúdo da memória do sistema operacional convidado. Esse tráfego pode incluir dados confidenciais, como senhas em texto sem formatação. Para evitar que esses dados sejam divulgados, certifique-se de que essa rede esteja protegida, especialmente para evitar ataques man-in-the-middle. Por exemplo, use uma rede privada para o tráfego de log do FT. Você também pode criptografar o tráfego de log do FT.

Ativar a criptografia de tolerância a falhas

Você pode criptografar o tráfego de log de tolerância a falhas.

vSphere Fault Tolerance realiza verificações frequentes entre uma VM primária e uma VM secundária para que a VM secundária possa retomar rapidamente a partir do último ponto de verificação bem-sucedido. O ponto de verificação contém o estado da VM que foi modificado desde o ponto de verificação anterior. Você pode criptografar o tráfego de log de tolerância a falhas.

Quando você ativa a tolerância a falhas, a criptografia FT é definida como Oportunista (Opportunistic) por padrão, o que significa que ela ativa a criptografia somente se o host primário e o secundário forem capazes de criptografar. Siga este procedimento se precisar alterar o modo de criptografia FT manualmente.

Observação: O Fault Tolerance oferece suporte à vSphere Criptografia de Máquina Virtual com o vSphere 7.0 Update 2 e posterior. A criptografia baseada em matriz e no convidado não depende nem interfere na criptografia da VM. Ter várias camadas de criptografia usa recursos de processamento adicionais, o que pode afetar o desempenho da máquina virtual. O impacto varia de acordo com o hardware, bem como a quantidade e o tipo de E/S, mas o impacto geral no desempenho é insignificante para a maioria das cargas de trabalho. A eficácia e a compatibilidade dos recursos de armazenamento de back-end, como desduplicação, compactação e replicação, também podem ser afetadas pela criptografia da VM.

Pré-requisitos

A criptografia FT requer SMP-FT. A criptografia no Legacy FT (Record-Replay FT) não é suportada.

Procedimento

  1. Selecione a VM e escolha Editar configurações (Edit Settings).
  2. Em Opções de VM (VM Options), selecione o menu suspenso FT criptografado (Encrypted FT).
  3. Escolha uma das seguintes opções:
    Opção Descrição
    Desativado Não ative o log de tolerância a falhas criptografado.
    Oportunista Ative a criptografia somente se ambos os lados forem capazes. Uma VM de tolerância a falhas tem permissão para se mover para um host ESXi que não é compatível com o log de tolerância a falhas criptografado.
    Obrigatório Escolha hosts para Fault Tolerance primário e secundário que ofereçam suporte ao log do FT criptografado.
    Observação: Enquanto a criptografia da VM está ativada, o modo de criptografia FT é definido como Obrigatório (Required) por padrão e não pode ser modificado.

    Quando o modo de criptografia FT está definido como Obrigatório (Required):

    • Quando você ativa o FT, somente os hosts compatíveis com a criptografia do FT são listados para o posicionamento do secundário do FT.
    • O failover do FT só pode ocorrer nos hosts compatíveis com a criptografia do FT.
  4. Clique em OK.