Sie können Full Clones mithilfe der vSphere-Funktion „Virtual Machine Encryption“ konfigurieren. Sie haben dabei die Möglichkeit, Full-Clone-Desktops mit dem gleichen und mit unterschiedlichen Registrierungsschlüsseln zu erstellen.
Voraussetzungen
- vSphere 6.5 oder höher.
- Erstellen Sie den KMS-Cluster (Key Management Server, Schlüsselverwaltungsserver) mit Schlüsselverwaltungsservern.
- Um eine Vertrauensbeziehung zwischen KMS und vCenter Server zu erstellen, akzeptieren Sie das selbstsignierte Zertifizierungsstellenzertifikat oder legen Sie ein von einer Zertifizierungsstelle (Certification Authority, CA) signiertes Zertifikat an.
- Erstellen Sie in vSphere Web Client das VMcrypt/VMEncryption-Speicherprofil.
- Horizon 7
Hinweis: Ausführliche Informationen zur Funktion „Virtual Machine Encryption“ in vSphere finden Sie im Dokument
vSphere-Sicherheit der vSphere-Dokumentation.
Prozedur
- Um Full Clones zu erstellen, die die gleichen Verschlüsselungsschlüssel verwenden, legen Sie eine entsprechende übergeordnete Vorlage für alle Desktops an, die den gleichen Verschlüsselungsschlüssel verwenden sollen.
Jeder Klon übernimmt den übergeordneten Verschlüsselungsstatus inklusive der Schlüssel.
- Erstellen Sie in vSphere Web Client eine übergeordnete VM mit der vmencrypt-Speicherrichtlinie oder erstellen Sie eine übergeordnete VM und wenden Sie dann die vmencrypt-Speicherrichtlinie an.
- Konvertieren Sie die übergeordnete VM in eine VM-Vorlage.
- Erstellen Sie Full-Clone-Desktops, die auf die übergeordnete Vorlage verweisen, sodass alle Desktops über die gleichen Verschlüsselungsschlüssel verfügen.
Hinweis: Wählen Sie bei der Erstellung des Full-Clone-Desktop-Pools nicht die CBRC-Funktion (Content Based Read Cache, Inhaltsbasierter Lesecache) aus. Die CBRC- und die Virtual Machine Encryption-Funktion sind nicht kompatibel.
- Um Full Clones mit unterschiedlichen Verschlüsselungsschlüsseln zu erstellen, müssen Sie für jeden Full-Clone-Desktop die Speicherrichtlinie ändern.
- Erstellen Sie in vSphere Web Client den Full-Clone-Desktop-Pool und bearbeiten Sie dann die Full-Clone-Desktops.
Sie haben auch die Möglichkeit, vorhandene Full-Clone-Desktops zu bearbeiten.
- Wechseln Sie zu allen Full-Clone-Desktops und ändern Sie jeweils die Speicherrichtlinie in vmencrypt.
Jeder Full-Clone-Desktop erhält dann einen anderen Verschlüsselungsschlüssel.
Hinweis: Für Full-Clone-Desktops mit vorhandenen CBRC-fähigen Festplatten kann die
vmencrypt-Speicherrichtlinie nicht angewendet werden. Die
vmencrypt-Speicherrichtlinie wird nur angewendet, wenn die übergeordnete VM über keine Snapshots verfügt.