Mithilfe des VMware Cloud Director Service Provider Admin Portal können Sie einem Provider-VDC eine Speicherrichtlinie mit aktivierter Verschlüsselung hinzufügen. Sie können VMs und Festplatten verschlüsseln, indem Sie eine VM oder Festplatte einer Speicherrichtlinie zuordnen, die über die VM-Verschlüsselungsfunktion verfügt.
Ab VMware Cloud Director 10.1 können Sie die Sicherheit Ihrer Daten mithilfe der VM-Verschlüsselung verbessern. Bei der Verschlüsselung wird nicht nur Ihre virtuelle Maschine geschützt, sondern auch die Festplatten und andere Dateien der virtuellen Maschine. Sie können die Funktionen von Speicherrichtlinien und den Verschlüsselungsstatus von VMs und Festplatten in der API und der Benutzeroberfläche anzeigen. Sie können alle in der jeweiligen vCenter Server-Version unterstützten Vorgänge auf verschlüsselten VMs und Festplatten durchführen.
Aktivieren der VM-Verschlüsselung
Um VMs in VMware Cloud Director zu verschlüsseln, müssen Sie mindestens einen Key Management Server (KMS) auf der vCenter Server-Instanz konfigurieren und die VMs und Festplatten einer Speicherrichtlinie zuordnen, die über die VM-Verschlüsselungsfunktion verfügt.
- Fügen Sie in vCenter Server einen KMS-Cluster hinzu. Eine vCenter Server-Instanz kann mehrere KMS-Cluster enthalten. Informationen zum Einrichten eines Schlüsselverwaltungsserver-Clusters finden Sie im Abschnitt Einrichten des Schlüsselmanagementserver-Clusters im Handbuch vSphere-Sicherheit.
- Aktivieren Sie in vCenter Server die Verschlüsselung für eine Speicherrichtlinie. Weitere Informationen finden Sie im Abschnitt Erstellen einer Speicherrichtlinie für die Verschlüsselung im Handbuch vSphere-Sicherheit.
- Fügen Sie einem Provider-VDC im VMware Cloud Director Service Provider Admin Portal die Richtlinie mit aktivierter Verschlüsselung hinzu. Weitere Informationen finden Sie im Hinzufügen einer VM-Speicherrichtlinie zu einem Provider-VDC in VMware Cloud Director.
- Fügen Sie einem Organisations-VDC im VMware Cloud Director Service Provider Admin Portal die Richtlinie mit aktivierter Verschlüsselung hinzu. Weitere Informationen finden Sie im Hinzufügen einer VM-Speicherrichtlinie zu einem VMware Cloud Director-Organisations-VDC.
- Im VMware Cloud Director Tenant Portal können Mandanten die VM oder die Festplatte einer Speicherrichtlinie mit aktivierter VM-Verschlüsselung zuordnen.
- Um eine VM oder Festplatte zu entschlüsseln, können Mandanten diese VM oder Festplatte einer Speicherrichtlinie zuordnen, für die die Verschlüsselung nicht aktiviert ist.
Einschränkungen bei der VM-Verschlüsselung
Die folgenden Aktionen werden in VMware Cloud Director nicht unterstützt.
- Verschlüsseln oder Entschlüsseln einer eingeschalteten VM oder ihrer Festplatten
- Exportieren einer OVF-Datei einer verschlüsselten VM
- Verschlüsseln und Entschlüsseln der Festplatten einer VM mit einem Snapshot, wenn die Festplatten Teil des Snapshots sind
- Entschlüsseln einer VM, wenn ihre Festplatte einer verschlüsselten Richtlinie unterliegt
- Hinzufügen einer verschlüsselten Festplatte zu einer nicht verschlüsselten VM
- Verschlüsseln einer vorhandenen Festplatte auf einer nicht verschlüsselten VM
- Hinzufügen einer verschlüsselten benannten Festplatte zu einer nicht verschlüsselten VM
- Erstellen eines verschlüsselten Linked Clone
- Verschlüsseln einer Linked Clone-VM oder ihrer Festplatten
- Instanziieren, Verschieben oder Klonen von VMs über vCenter Server-Instanzen hinweg, wenn die Quell-VM verschlüsselt ist
Identifizieren einer VM-Verschlüsselungsspeicherfunktion
Standardmäßig verfügen Systemadministratoren und Organisationsadministratoren über die erforderlichen Rechte zum Anzeigen der Speicherfunktionen des Organisations-VDC und des Verschlüsselungsstatus von VMs und Festplatten. vApp-Autoren können den Verschlüsselungsstatus von VMs und Festplatten anzeigen. Weitere Informationen zu diesen Rollen und Rechten finden Sie unter Vordefinierte VMware Cloud Director-Rollen und zugehörige Rechte.
Sie können alle Speicherfunktionen in der Spalte Funktionen unter anzeigen. Diese Spalte zeigt die VM-Verschlüsselung, die Tag-basierte Zuordnung, vSAN und die IOPS-Begrenzung der Speicherfunktionen an. Um die vollständige Liste der Speicherfunktionen anzuzeigen, erweitern Sie die Zeile, indem Sie auf den Pfeil links neben dem Namen der Speicherrichtlinie klicken.
Sie können die Informationen zur Speicherfunktion auch auf der Registerkarte Speicherrichtlinien eines Provider-VDC anzeigen.