Quando você clona uma máquina virtual criptografada, o clone é criptografado com as mesmas chaves, a menos que você as altere. Para alterar chaves, você pode usar o vSphere Client, o PowerCLI ou a API. Se você usar o PowerCLI ou a API, poderá clonar a máquina virtual criptografada e alterar as chaves em uma etapa. Para obter mais informações, consulte o vSphere Web Services SDKGuia de Programação.

Você pode realizar as seguintes operações durante a clonagem.
  • Crie uma máquina virtual criptografada a partir de uma máquina virtual não criptografada ou de um modelo de máquina virtual.
  • Crie uma máquina virtual descriptografada a partir de uma máquina virtual criptografada ou de um modelo de máquina virtual.
  • Recriptografe a máquina virtual de destino com chaves diferentes daquelas da máquina virtual de origem.
  • A partir do vSphere 8.0, a seleção da opção Substituir (Replace) para uma máquina virtual com um dispositivo vTPM começa com um novo vTPM em branco, que obtém seus próprios segredos e identidade.
Observação: vSphere A versão 8.0 inclui a configuração avançada vpxd.clone.tpmProvisionPolicy para tornar o comportamento de clonagem padrão para vTPMs como "substituir".
Você pode criar uma máquina virtual de clone instantâneo a partir de uma máquina virtual criptografada com a ressalva de que o clone instantâneo compartilha a mesma chave com a máquina virtual de origem. Não é possível criptografar novamente chaves na máquina virtual de origem ou de clone instantâneo. Consulte o vSphere Web Services SDKGuia de programação.

Pré-requisitos

  • Um provedor de chaves deve ser configurado e habilitado.
  • Crie uma política de armazenamento de criptografia ou use o exemplo em pacote, Política de Criptografia de VM.
  • Privilégios necessários:
    • Operações criptográficas.Clone
    • Operações criptográficas.Criptografia
    • Operações criptográficas.Descriptografar
    • Operações criptográficas.Recriptografia
    • Se o modo de criptografia do host não estiver Ativado, você também deverá ter o privilégio Operações criptográficas.Registrar host.

Procedimento

  1. Navegue até a máquina virtual no inventário vSphere Client.
  2. Clique com o botão direito do mouse na máquina virtual e selecione Clone > Clone to Virtual Machine > .
  3. Navegue pelas páginas do assistente.
    1. Na página Selecionar um nome e uma pasta, digite um nome e selecione um centro de dados ou uma pasta na qual implantá-lo.
    2. Em Selecionar um recurso de processamento, selecione um objeto para o qual você tem privilégios para criar máquinas virtuais criptografadas. Para obter informações sobre pré-requisitos e privilégios necessários para tarefas de criptografia, consulte a documentação vSphereSegurança.
    3. Altere as chaves para o vTPM clonado.

      A clonagem de uma máquina virtual duplica toda a máquina virtual, incluindo o vTPM e seus segredos, que podem ser usados para determinar a identidade de um sistema. Para alterar segredos em um vTPM, selecione Substituir (Replace) porPolítica de provisionamento do TPM ( TPM Provision Policy).

      Observação:

      Quando você substitui os segredos de um vTPM, todas as chaves, incluindo as relacionadas à carga de trabalho, são substituídas. Como prática recomendada, certifique-se de que suas cargas de trabalho não usem mais um vTPM antes de substituir as chaves. Caso contrário, as cargas de trabalho na máquina virtual clonada podem não funcionar corretamente.

    4. Na página Selecionar armazenamento, selecione o armazenamento de dados ou o cluster de armazenamento de dados no qual armazenar os arquivos de configuração do modelo e todos os discos virtuais. Você pode alterar a política de armazenamento como parte da operação de clonagem. Por exemplo, a alteração do uso de uma política de criptografia para uma política sem criptografia descriptografa os discos.
    5. Em Selecionar opções de clone, selecione opções de personalização adicionais.
    6. Na página Pronto para concluir, revise as informações e clique em Concluir (Finish).
  4. (Opcional) Altere as chaves para a máquina virtual clonada.
    Por padrão, a máquina virtual clonada é criada com as mesmas chaves que seu pai. A prática recomendada é alterar as chaves da máquina virtual clonada para garantir que várias máquinas virtuais não tenham as mesmas chaves.
    1. Decida sobre uma nova criptografia superficial ou profunda.

      Para usar uma DEK e uma KEK diferentes, realize uma nova criptografia profunda da máquina virtual clonada. Para usar uma KEK diferente, realize uma nova criptografia superficial da máquina virtual clonada. Para uma nova criptografia profunda, você deve desligar a máquina virtual. Você pode executar uma operação de criptografia superficial enquanto a máquina virtual está ligada e se a máquina virtual tiver snapshots presentes. A criptografia superficial de uma máquina virtual criptografada com snapshots é permitida somente em uma única ramificação de snapshot (cadeia de disco). Não há suporte para várias ramificações de snapshot. Se a criptografia superficial falhar antes de atualizar todos os links na cadeia com a nova KEK, você ainda poderá acessar a máquina virtual criptografada se tiver as KEKs antigas e novas.

    2. Realize uma nova criptografia do clone usando a API. Para obter mais informações, consulte o vSphere Web Services SDKGuia de Programação.