Machen Sie sich mit den Vorbehalten bei der Verschlüsselung von virtuellen Maschinen vertraut, um möglicherweise später auftretende Probleme zu vermeiden.

Informationen darüber, welche Geräte und Funktionen nicht bei der Verschlüsselung von virtuellen Maschinen verwendet werden können, finden Sie unter Interoperabilität bei der Verschlüsselung von virtuellen Maschinen.

Einschränkungen

Beachten Sie die folgenden Vorbehalte bei der Planung Ihrer Strategie zur Verschlüsselung von virtuellen Maschinen.

  • Wenn Sie eine verschlüsselte Maschine klonen oder einen Storage vMotion-Vorgang durchführen, können Sie versuchen, das Festplattenformat zu ändern. Diese Konvertierungen sind jedoch nicht immer erfolgreich. Wenn Sie beispielsweise eine virtuelle Maschine klonen und versuchen, das Festplattenformat von „lazy-zeroed thick“ in „thin“ zu ändern, behält die Festplatte der virtuellen Maschine das Format „lazy-zeroed thick“ bei.

  • Sie können eine virtuelle Maschine und deren Festplatten nicht unter Verwendung des Menüs Einstellungen bearbeiten verschlüsseln. Sie müssen stattdessen die Speicherrichtlinie ändern. Im Menü Einstellungen bearbeiten oder durch das Ändern der Speicherrichtlinie können Sie andere Verschlüsselungsaufgaben durchführen, zum Beispiel eine nicht verschlüsselte Festplatte einer verschlüsselten virtuellen Maschine verschlüsseln. Weitere Informationen hierzu finden Sie unter Verschlüsseln einer bestehenden virtuellen Maschine oder virtuellen Festplatte.

  • Wenn Sie eine Festplatte von einer virtuellen Maschine trennen, werden die Informationen der Speicherrichtlinie für die virtuelle Festplatte nicht gespeichert.

    • Wenn die virtuelle Festplatte verschlüsselt ist, müssen Sie die Speicherrichtlinie explizit auf „VM-Speicherrichtlinie“ oder auf eine Speicherrichtlinie festlegen, die Verschlüsselung enthält.

    • Wenn die virtuelle Festplatte nicht verschlüsselt ist, können Sie die Speicherrichtlinie ändern, wenn Sie die Festplatte zu einer virtuellen Maschine hinzufügen.

    Weitere Informationen finden Sie unter Verschlüsseln von virtuellen Festplatten.

  • Entschlüsseln Sie Core-Dumps, bevor Sie eine virtuelle Maschine auf einen anderen Cluster verschieben.

    Der vCenter Server speichert keine KMS-Schlüssel, sondern nur die Schlüssel-IDs. vCenter Server speichert daher den ESXi-Hostschlüssel nicht dauerhaft.

    Unter gewissen Umständen, zum Beispiel beim Verschieben des ESXi-Hosts auf einen anderen Cluster und beim Neustart des Hosts weist vCenter Server dem Host einen neuen Hostschlüssel zu. Sie können keine vorhandenen Core-Dumps mit dem neuen Hostschlüssel entschlüsseln.

  • OVF-Export wird für eine verschlüsselte virtuelle Maschine nicht unterstützt.

Virtuelle Maschine im gesperrten Zustand

Wenn der Schlüssel für eine virtuelle Maschine oder mindestens ein Schlüssel für die virtuellen Festplatten fehlt, wechselt die virtuelle Maschine in einen gesperrten Zustand. In einem gesperrten Zustand können Sie keine Vorgänge für die virtuelle Maschine durchführen.

  • Wenn Sie eine virtuelle Maschine und deren Festplatten über den vSphere Web Client verschlüsseln, wird derselbe Schlüssel für beide Vorgänge verwendet.

  • Wenn Sie die Verschlüsselung mit der API durchführen, können Sie verschiedene Verschlüsselungsschlüssel für die virtuelle Maschine und deren Festplatten verwenden. Wenn Sie in diesem Fall versuchen, eine virtuelle Maschine einzuschalten, und einer der Festplattenschlüssel fehlt, schlägt das Einschalten fehl. Wenn Sie die virtuelle Festplatte entfernen, können Sie die virtuelle Maschine einschalten.

Vorschläge zur Fehlerbehebung finden Sie unter Beheben von Problemen in Bezug auf fehlende Schlüssel.

Schlüsselmanagementserver (Key Management Server, KMS)

Ein KMS kann nur einmal zu einem vCenter Server-System hinzugefügt werden. Sie können den KMS nicht zweimal, z. B. in zwei verschiedenen KMS-Clusterinstanzen hinzufügen.