Wenn Sie eine verschlüsselte virtuelle Maschine klonen, wird der Klon mit den gleichen Schlüsseln verschlüsselt. Um Schlüssel für den Klon zu ändern, führen Sie mithilfe der API eine Neuverschlüsselung des Klons durch. Siehe Programmierhandbuch zum vSphere Web Services SDK.

Während des Klonens können Sie die folgenden Vorgänge ausführen.

  • Erstellen Sie eine verschlüsselte virtuelle Maschine anhand einer nicht verschlüsselten oder Vorlagen-VM.
  • Erstellen Sie eine entschlüsselte virtuelle Maschine anhand einer verschlüsselten oder Vorlagen-VM.
  • Verschlüsseln Sie die virtuelle Zielmaschine erneut mit Schlüsseln, die sich von denen der virtuellen Quellmaschine unterscheiden.

Sie können eine Instant Clone-VM anhand einer verschlüsselten virtuellen Maschine unter der Voraussetzung erstellen, dass der Instant Clone denselben Schlüssel wie die virtuelle Quellmaschine verwendet. Sie können Schlüssel weder auf der Quell- noch auf der Instant Clone-VM erneut verschlüsseln. Weitere Informationen hierzu finden Sie unter Programmierhandbuch zum vSphere Web Services SDK.

Voraussetzungen

  • Richten Sie eine vertrauenswürdige Verbindung mit dem KMS ein und wählen Sie einen Standard-KMS aus.
  • Erstellen Sie eine Speicherrichtlinie für die Verschlüsselung oder verwenden Sie das im Lieferumfang enthaltene Beispiel für eine VM-Verschlüsselungsrichtlinie.
  • Erforderliche Rechte:
    • Verschlüsselungsvorgänge.Klonen
    • Verschlüsselungsvorgänge.Verschlüsseln
    • Verschlüsselungsvorgänge.Entschlüsseln
    • Verschlüsselungsvorgänge.Erneut verschlüsseln
    • Wenn der Hostverschlüsselungsmodus nicht auf „Aktiviert“ festgelegt ist, benötigen Sie außerdem Verschlüsselungsvorgänge.Host registrieren-Berechtigungen.

Prozedur

  1. Navigieren Sie zur virtuellen Maschine in der Bestandsliste des vSphere Client.
  2. Um einen Klon einer verschlüsselten Maschine zu erstellen, klicken Sie mit der rechten Maustaste auf die virtuelle Maschine, wählen Sie Klonen > In virtueller Maschine klonen und folgen Sie den Anweisungen.
    Option Aktion
    Namen und Ordner auswählen Geben Sie einen Namen und einen Zielspeicherort für den Klon an.
    Computing-Ressource auswählen Geben Sie ein Objekt an, für das Sie über Berechtigungen zum Erstellen von verschlüsselten virtuellen Maschinen verfügen. Weitere Informationen hierzu finden Sie unter Voraussetzungen und erforderliche Berechtigungen für die Verschlüsselung.
    Speicher auswählen Nehmen Sie eine Auswahl im Menü Format für die virtuelle Festplatte auswählen vor und wählen Sie einen Datenspeicher aus. Sie können die Speicherrichtlinie im Rahmen des Klonvorgangs ändern. Wenn Sie beispielsweise statt einer Verschlüsselungsrichtlinie eine Nicht-Verschlüsselungsrichtlinie verwenden, werden die Festplatten entschlüsselt.
    Klonoptionen auswählen Wählen Sie Klonoptionen wie in der Dokumentation zu vSphere-Administratorhandbuch für virtuelle Maschinen beschrieben aus.
    Bereit zum Abschließen Überprüfen Sie die Informationen und klicken Sie auf Beenden.
  3. (Optional) Ändern Sie die Schlüssel für die geklonte virtuelle Maschine.
    Die geklonte virtuelle Maschine wird standardmäßig mit denselben Schlüsseln erstellt wie die übergeordnete virtuelle Maschine. Als Best Practice wird empfohlen, die Schlüssel der geklonten virtuellen Maschine zu ändern, um sicherzustellen, dass nicht mehrere virtuelle Maschinen dieselben Schlüssel aufweisen.
    1. Entscheiden Sie sich für eine flache oder tiefe Neuverschlüsselung.
      Wenn Sie einen anderen Daten-Verschlüsselungsschlüssel (Data Encryption Key, DEK) und einen anderen Schlüssel-Verschlüsselungsschlüssel (Key Encryption Key, KEK) verwenden möchten, führen Sie eine tiefe Neuverschlüsselung der geklonten virtuellen Maschine durch. Wenn Sie einen anderen KEK verwenden möchten, führen Sie eine flache Neuverschlüsselung der geklonten virtuellen Maschine durch. Bei einer tiefen Neuverschlüsselung müssen Sie die virtuelle Maschine ausschalten. Sie können eine flache Neuverschlüsselung bei eingeschalteter virtueller Maschine durchführen, sofern auf der virtuellen Maschine Snapshots vorhanden sind. Die flache Neuverschlüsselung einer verschlüsselten virtuellen Maschine mit Snapshots ist nur in einem einzelnen Snapshot-Zweig (Festplattenkette) zulässig. Mehrere Snapshot-Zweige werden nicht unterstützt. Wenn die flache Neuverschlüsselung fehlschlägt, bevor alle Verknüpfungen in der Kette mit dem neuen KEK aktualisiert werden, können Sie weiterhin auf die verschlüsselte virtuelle Maschine zugreifen, vorausgesetzt, Sie verfügen über die alten und neuen KEKs.
    2. Verschlüsseln Sie den Klon erneut über die API. Siehe Programmierhandbuch zum vSphere Web Services SDK.