vSphere Virtual Machine Encryption weist bestimmte Einschränkungen in Bezug auf Geräte und Funktionen auf, mit denen eine Interoperabilität in vSphere 6.5 und höheren Versionen möglich ist.
Die folgenden Einschränkungen und Anmerkungen beziehen sich auf die Verwendung von vSphere Virtual Machine Encryption. Ähnliche Informationen zur Verwendung der vSAN-Verschlüsselung finden Sie in der Dokumentation Verwalten von VMware vSAN.
Einschränkungen bei bestimmten Verschlüsselungsaufgaben
Für die Durchführung bestimmter Aufgaben auf einer verschlüsselten virtuellen Maschine gelten einige Einschränkungen.
- Sie können die meisten Verschlüsselungsvorgänge nicht auf einer eingeschalteten virtuellen Maschine durchführen. Die virtuelle Maschine muss ausgeschaltet sein. Sie können eine verschlüsselte virtuelle Maschine klonen und beim Einschalten der virtuellen Maschine eine oberflächliche erneute Verschlüsselung vornehmen.
- Auf einer virtuellen Maschine mit Snapshots kann keine tiefe Neuverschlüsselung durchgeführt werden. Auf einer virtuellen Maschine mit Snapshots kann eine flache Neuverschlüsselung durchgeführt werden.
Virtual Trusted Platform Module-Geräte und vSphere Virtual Machine Encryption
Ein vTPM (Virtual Trusted Platform Module) ist eine softwarebasierte Darstellung eines physischen Trusted Platform Module 2.0-Chips. Sie können ein vTPM zu einer neuen oder einer vorhandenen virtuellen Maschine hinzufügen. Zum Hinzufügen eines vTPM zu einer virtuellen Maschine müssen Sie einen Schlüsselmanagementserver (Key Management Server, KMS) in Ihrer vSphere-Umgebung konfigurieren. Wenn Sie ein vTPM konfigurieren, werden die Home-Dateien der virtuellen Maschine verschlüsselt (Arbeitsspeicherauslagerung, NVRAM-Dateien usw.). Die Festplattendateien oder VMDK-Dateien werden nicht automatisch verschlüsselt. Sie haben die Möglichkeit, Verschlüsselung für die Festplatten der virtuellen Maschine explizit hinzuzufügen.
vSphere Virtual Machine Encryption sowie Zustand „Angehalten“ und Snapshots
Ab vSphere 6.7 können Sie eine im angehaltenen Zustand befindliche verschlüsselte virtuelle Maschine fortsetzen oder zu einem Arbeitsspeicher-Snapshot einer verschlüsselten Maschine zurückkehren. Sie können eine im angehaltenen Zustand befindliche verschlüsselte virtuelle Maschine mit einem Arbeitsspeicher-Snapshot zwischen ESXi-Hosts migrieren.
vSphere Virtual Machine Encryption und IPv6
Sie können vSphere Virtual Machine Encryption im reinen IPv6- oder gemischten Modus verwenden. Sie können den KMS mit IPv6-Adressen konfigurieren. Sie können sowohl den vCenter Server als auch den Schlüsselmanagementserver ausschließlich mit IPv6-Adressen konfigurieren.
Einschränkungen beim Klonen in vSphere Virtual Machine Encryption
- Das Klonen wird bedingt unterstützt.
-
Vollständige Klone werden unterstützt. Der Klon erbt den übergeordneten Verschlüsselungszustand und alle Schlüssel. Sie können den vollständigen Klon verschlüsseln, ihn zur Verwendung neuer Schlüssel erneut verschlüsseln oder entschlüsseln.
Verknüpfte Klone werden unterstützt und der Klon erbt den übergeordneten Verschlüsselungsstatus einschließlich der Schlüssel. Sie können den verknüpften Klon nicht entschlüsseln oder einen verknüpften Klon nicht mit unterschiedlichen Schlüsseln erneut verschlüsseln.
Hinweis: Stellen Sie sicher, dass andere Anwendungen verknüpfte Klone unterstützen. Beispiel: VMware Horizon ® 7 unterstützt sowohl vollständige Klone als auch Instant Clones, aber keine verknüpften Klone.
-
- Instant Clone wird unterstützt. Verschlüsselungsschlüssel für Klone können jedoch nicht geändert werden.
Nicht unterstützte Festplattenkonfigurationen bei vSphere Virtual Machine Encryption
Bestimmte Konfigurationstypen von VM-Festplatten werden mit vSphere Virtual Machine Encryption nicht unterstützt.
- RDM (Raw Device Mapping). vSphere Virtual Volumes (vVols) werden jedoch unterstützt.
- Multiwriter- oder freigegebene Festplatten (MSCS, WSFC oder Oracle RAC). Verschlüsselte VM-Home-Dateien werden bei Multiwriter-Festplatten unterstützt. Verschlüsselte virtuelle Festplatten werden bei Multiwriter-Festplatten nicht unterstützt. Wenn Sie versuchen, Multiwriter auf der Seite Einstellungen bearbeiten der virtuellen Maschine mit verschlüsselten virtuellen Festplatten auszuwählen, ist die Schaltfläche OK deaktiviert.
Verschiedene Einschränkungen bei vSphere Virtual Machine Encryption
Zu den anderen Funktionen, die nicht mit vSphere Virtual Machine Encryption funktionieren, gehören:
- vSphere Fault Tolerance
- vSphere ESXi Dump Collector
- Migration mit vMotion einer verschlüsselten virtuellen Maschine auf eine andere vCenter Server-Instanz. Die verschlüsselte Migration mit vMotion einer nicht verschlüsselten virtuellen Maschine wird unterstützt.
- Inhaltsbibliothek
- Inhaltsbibliotheken unterstützen zwei Arten von Vorlagen: OVF- und VM-Vorlagen. Sie können eine verschlüsselte virtuelle Maschine nicht in den OVF-Vorlagentyp exportieren. Das OVF-Tool unterstützt keine verschlüsselten virtuellen Maschinen. Sie können verschlüsselte VM-Vorlagen mithilfe des VM-Vorlagentyps erstellen. Weitere Informationen finden Sie im Administratorhandbuch für vSphere Virtual Machine.
- Software zum Sichern verschlüsselter virtueller Festplatten muss die VMware vSphere Storage API - Data Protection (VADP) verwenden, damit die Festplatten entweder im Hot-Add-Modus oder im NBD-Modus bei aktiviertem SSL gesichert werden können. Es werden jedoch nicht alle Sicherungslösungen unterstützt, die VADP für die Sicherung virtueller Festplatten verwenden. Weitere Informationen erhalten Sie von Ihrem Backupanbieter.
- Lösungen für den VADP-SAN-Transportmodus werden für die Sicherung verschlüsselter virtueller Festplatten nicht unterstützt.
- VADP-Hot-Add-Lösungen werden für verschlüsselte virtuelle Festplatten unterstützt. Die Sicherungssoftware muss die Verschlüsselung der Proxy-VM, die als Teil des Hot-Add-Sicherungsworkflows verwendet wird, unterstützen. Der Anbieter muss über die Rechte für verfügen.
- Sicherungslösungen mithilfe der NBD-SSL-Transportmodi werden für die Sicherung verschlüsselter virtueller Festplatten unterstützt. Die Anwendung des Anbieters muss über die Rechte für verfügen.
- Sie können keine Ausgabe von einer verschlüsselten virtuellen Maschine an einen seriellen oder parallelen Port senden. Selbst wenn die Konfiguration scheinbar erfolgreich ist, wird die Ausgabe an eine Datei gesendet.
- vSphere Virtual Machine Encryption wird in VMware Cloud on AWS nicht unterstützt. Einzelheiten finden Sie unter Verwalten des VMware Cloud on AWS-Datencenters.