Sie können Full Clones mithilfe der vSphere-Funktion „Virtual Machine Encryption“ konfigurieren. Sie haben dabei die Möglichkeit, Full-Clone-Desktops mit dem gleichen und mit unterschiedlichen Registrierungsschlüsseln zu erstellen.

Voraussetzungen

  • vSphere 6.5 oder höher.
  • Erstellen Sie den KMS-Cluster (Key Management Server, Schlüsselverwaltungsserver) mit Schlüsselverwaltungsservern.
  • Um eine Vertrauensbeziehung zwischen KMS und vCenter Server zu erstellen, akzeptieren Sie das selbstsignierte Zertifizierungsstellenzertifikat oder legen Sie ein von einer Zertifizierungsstelle (Certification Authority, CA) signiertes Zertifikat an.
  • Erstellen Sie in vSphere Web Client das VMcrypt/VMEncryption-Speicherprofil.
  • Horizon 7
Hinweis: Ausführliche Informationen zur Funktion „Virtual Machine Encryption“ in vSphere finden Sie im Dokument vSphere-Sicherheit der vSphere-Dokumentation.

Prozedur

  1. Um Full Clones zu erstellen, die die gleichen Verschlüsselungsschlüssel verwenden, legen Sie eine entsprechende Golden-Vorlage für alle Desktops an, die den gleichen Verschlüsselungsschlüssel verwenden sollen.
    Jeder Klon übernimmt den Verschlüsselungsstatus der Golden-Vorlage inklusive der Schlüssel.
    1. Erstellen Sie in vSphere Web Client eine Golden Image-VM mit der vmencrypt-Speicherrichtlinie oder erstellen Sie eine virtuelle Maschine mit einem Golden Image und wenden Sie dann die vmencrypt-Speicherrichtlinie an.
    2. Konvertieren Sie die Golden Image-VM in eine VM-Vorlage.
    3. Erstellen Sie Full-Clone-Desktops, die auf die Golden-Vorlage verweisen, sodass alle Desktops über die gleichen Verschlüsselungsschlüssel verfügen.
    Hinweis: Wählen Sie bei der Erstellung des Full-Clone-Desktop-Pools nicht die CBRC-Funktion (Content Based Read Cache, Inhaltsbasierter Lesecache) aus. Die CBRC- und die Virtual Machine Encryption-Funktion sind nicht kompatibel.
  2. Um Full Clones mit unterschiedlichen Verschlüsselungsschlüsseln zu erstellen, müssen Sie für jeden Full-Clone-Desktop die Speicherrichtlinie ändern.
    1. Erstellen Sie in vSphere Web Client den Full-Clone-Desktop-Pool und bearbeiten Sie dann die Full-Clone-Desktops.
      Sie haben auch die Möglichkeit, vorhandene Full-Clone-Desktops zu bearbeiten.
    2. Wechseln Sie zu allen Full-Clone-Desktops und ändern Sie jeweils die Speicherrichtlinie in vmencrypt.
      Jeder Full-Clone-Desktop erhält dann einen anderen Verschlüsselungsschlüssel.
    Hinweis: Für Full-Clone-Desktops mit vorhandenen CBRC-fähigen Festplatten kann die vmencrypt-Speicherrichtlinie nicht angewendet werden. Die vmencrypt-Speicherrichtlinie wird nur angewendet, wenn die Golden Image-VM über keine Snapshots verfügt.