vSphere vMotion sempre usa criptografia ao migrar máquinas virtuais criptografadas. Para máquinas virtuais que não são criptografadas, você pode selecionar uma das opções criptografadas vSphere vMotion.

O vSphere vMotion criptografado protege a confidencialidade, a integridade e a autenticidade dos dados que são transferidos com o vSphere vMotion. O vSphere oferece suporte ao vMotion criptografado de máquinas virtuais não criptografadas e criptografadas em vCenter Server instâncias.

O que é criptografado

Para discos criptografados, os dados são transmitidos criptografados em todos os casos. Para discos não criptografados, aplica-se o seguinte:
  • Se os dados do disco forem transferidos em um host, ou seja, sem alterar o host, você alterará apenas o armazenamento de dados; a transferência será descriptografada.
  • Se os dados do disco forem transferidos entre hosts e o vMotion criptografado for usado, a transferência será criptografada. Se o vMotion criptografado não for usado, a transferência não será criptografada.

Para máquinas virtuais criptografadas, a migração com vSphere vMotion sempre usa vSphere vMotion criptografado. Você não pode desativar o vSphere vMotion criptografado para máquinas virtuais criptografadas.

Estados vSphere vMotion criptografados

Para máquinas virtuais que não são criptografadas, você pode definir criptografado vSphere vMotion como um dos seguintes estados. O padrão é Oportunista.
Desativado
Não use vSphere vMotion criptografado.
Oportunista
Use vSphere vMotion criptografado se os hosts de origem e de destino oferecerem suporte. Somente ESXi versões 6.5 e posteriores usam vSphere vMotion criptografado.
Obrigatório
Permitir somente vSphere vMotion criptografado. Se o host de origem ou de destino não oferecer suporte a vSphere vMotion criptografado, a migração com vSphere vMotion não será permitida.

Quando você criptografa uma máquina virtual, a máquina virtual mantém um registro da configuração atual criptografada vSphere vMotion. Se você desativar a criptografia para a máquina virtual posteriormente, a configuração do vMotion criptografado permanecerá em Obrigatório até que você altere a configuração explicitamente. Você pode alterar as configurações usando Editar configurações (Edit Settings).

Observação: Atualmente, você deve usar as APIs do vSphere para migrar ou clonar máquinas virtuais criptografadas em instâncias do vCenter Server. Consulte vSphere Web Services SDKGuia de programação e vSphere Web Referência da API de serviços.

Migrando ou clonando máquinas virtuais criptografadas em vCenter Server instâncias

vSphere vMotion é compatível com a migração e a clonagem de máquinas virtuais criptografadas em vCenter Server instâncias.

Ao migrar ou clonar máquinas virtuais criptografadas em instâncias vCenter Server, as instâncias vCenter Server de origem e de destino devem ser configuradas para compartilhar o provedor de chaves que foi usado para criptografar a máquina virtual. Além disso, o nome do provedor de chaves deve ser o mesmo nas instâncias vCenter Server de origem e de destino e ter as seguintes características:

  • Provedor de chaves padrão: o mesmo servidor de chaves (ou servidores de chaves) deve estar no provedor de chaves.
  • Provedor de chaves confiável: o mesmo serviço vSphere Trust Authority deve ser configurado no host de destino.
  • vSphere Native Key Provider: deve ter o mesmo KDK.
    Observação: Não é possível clonar ou migrar uma máquina virtual criptografada usando vSphere Native Key Provider para um host autônomo, independentemente de o host de origem residir em um cluster.

O destino vCenter Server garante que o host de destino ESXi tenha o modo de criptografia definido, garantindo que o host seja criptograficamente "seguro".

Os seguintes privilégios são necessários ao usar vSphere vMotion para migrar ou clonar uma máquina virtual criptografada em vCenter Server instâncias.

  • Migrando: Operações criptográficas.Migrar na máquina virtual
  • Clonagem: operações criptográficas.clone na máquina virtual

Além disso, o destino vCenter Server deve ter o privilégio Operações criptográficas.EncryptNew. Se o host ESXi de destino não estiver no modo "seguro", o privilégio Operações criptográficas.RegisterHost também deverá estar no destino vCenter Server.

Certas tarefas não são permitidas ao migrar máquinas virtuais (não criptografadas ou criptografadas), na mesma instância vCenter Server ou entre vCenter Server.

  • Você não pode alterar a Política de Armazenamento da VM.
  • Você não pode realizar uma alteração de chave.
Observação: Você pode alterar a Política de Armazenamento da VM ao clonar máquinas virtuais.

Requisitos mínimos para migração ou clonagem de máquinas virtuais criptografadas em vCenter Server instâncias

Os requisitos mínimos de versão para migrar ou clonar máquinas virtuais criptografadas do provedor de chaves padrão em instâncias do vCenter Server usando vSphere vMotion são:

  • As instâncias vCenter Server de origem e de destino devem estar na versão 7.0 ou posterior.
  • Os hosts ESXi de origem e de destino devem estar na versão 6.7 ou posterior.

Os requisitos mínimos de versão para migrar ou clonar máquinas virtuais criptografadas de provedor de chaves confiáveis em instâncias do vCenter Server usando vSphere vMotion são:

  • O serviço vSphere Trust Authority deve ser configurado para o host de destino e o host de destino deve ser atestado.
  • A criptografia não pode ser alterada na migração. Por exemplo, um disco não criptografado não pode ser criptografado enquanto a máquina virtual é migrada para o novo armazenamento.
  • Você pode migrar uma máquina virtual criptografada padrão para um Host Confiável. O nome do provedor de chaves deve ser o mesmo nas instâncias vCenter Server de origem e de destino.
  • Você não pode migrar uma máquina virtual criptografada vSphere Trust Authority para um Host não confiável.

Trusted Key Provider vMotion e Cross-vCenter Server vMotion

O provedor de chaves confiável é totalmente compatível com o vMotion em ESXi hosts.

vCenter ServerO vMotion cruzado é compatível, mas com as seguintes restrições.

  1. O serviço confiável necessário deve ser configurado no host de destino e o host de destino deve ser atestado.
  2. A criptografia não pode ser alterada na migração. Por exemplo, um disco não pode ser criptografado enquanto a máquina virtual é migrada para o novo armazenamento.

Ao executar o vMotion cruzado do vCenter Server, o vCenter Server verifica se o provedor de chaves confiável está disponível no host de destino e se o host tem acesso a ele.

vSphere Native Key Provider vMotion e Cross-vCenter Server vMotion

vSphere Native Key Provider oferece suporte ao vMotion e ao vMotion criptografado em ESXi hosts. O vMotion entrevCenter Server será compatível se vSphere Native Key Provider estiver configurado no host de destino.

Habilitar o vMotion criptografado em uma máquina virtual

Você pode habilitar o vMotion criptografado durante a criação da máquina virtual. Posteriormente, você poderá alterar o estado do vMotion criptografado nas configurações da máquina virtual. Você pode alterar o estado do vMotion criptografado apenas para máquinas virtuais que não estão criptografadas.

Para obter mais informações sobre a criptografia da máquina virtual, consulte Criptografado vSphere vMotion.

Pré-requisitos

O vMotion criptografado é compatível apenas com o vSphere 6.5 e versões posteriores.

Procedimento

  1. Clique com o botão direito do mouse na máquina virtual e selecione Editar configurações (Edit Settings).
  2. Selecione Opções de VM (VM Options).
  3. Clique em Criptografia (Encryption) e selecione uma opção no menu suspenso VMo criptografado (Encrypted VMotion).
    Desativado

    Não use o vMotion criptografado.

    Oportunista

    Use o vMotion criptografado se os hosts de origem e destino oferecerem suporte a ele. Somente ESXi hosts da versão 6.5 e posterior usam o vMotion criptografado.

    Obrigatório

    Permitir apenas o vMotion criptografado. Se o host de origem ou de destino não oferecer suporte ao vMotion criptografado, a migração com o vMotion falhará.