vSphere Virtual Machine Encryption weist einige Einschränkungen in Bezug auf Geräte und Funktionen auf, mit denen Interoperabilität möglich ist.
Die folgenden Einschränkungen und Anmerkungen beziehen sich auf die Verwendung von vSphere Virtual Machine Encryption. Ähnliche Informationen zur Verwendung der vSAN-Verschlüsselung finden Sie in der Dokumentation Verwalten von VMware vSAN.
Einschränkungen bei bestimmten Verschlüsselungsaufgaben
Für die Durchführung bestimmter Aufgaben auf einer verschlüsselten virtuellen Maschine gelten einige Einschränkungen.
- Sie können die meisten Verschlüsselungsvorgänge nicht auf einer eingeschalteten virtuellen Maschine durchführen. Die virtuelle Maschine muss ausgeschaltet sein. Sie können eine verschlüsselte virtuelle Maschine klonen und beim Einschalten der virtuellen Maschine eine oberflächliche erneute Verschlüsselung vornehmen.
- Auf einer virtuellen Maschine mit Snapshots kann keine tiefe Neuverschlüsselung durchgeführt werden. Auf einer virtuellen Maschine mit Snapshots kann eine flache Neuverschlüsselung durchgeführt werden.
Virtual Trusted Platform Module-Geräte und vSphere Virtual Machine Encryption
Ein vTPM (Virtual Trusted Platform Module) ist eine softwarebasierte Darstellung eines physischen Trusted Platform Module 2.0-Chips. Sie können ein vTPM zu einer neuen oder einer vorhandenen virtuellen Maschine hinzufügen. Zum Hinzufügen eines vTPM zu einer virtuellen Maschine müssen Sie einen Schlüsselanbieter in Ihrer vSphere-Umgebung konfigurieren. Wenn Sie ein vTPM konfigurieren, werden die Home-Dateien der virtuellen Maschine verschlüsselt (Arbeitsspeicherauslagerung, NVRAM-Dateien usw.). Die Festplattendateien oder VMDK-Dateien werden nicht automatisch verschlüsselt. Sie haben die Möglichkeit, Verschlüsselung für die Festplatten der virtuellen Maschine explizit hinzuzufügen.
vSphere Virtual Machine Encryption sowie Zustand „Angehalten“ und Snapshots
Sie können eine im angehaltenen Zustand befindliche verschlüsselte virtuelle Maschine fortsetzen oder einen Arbeitsspeicher-Snapshot einer verschlüsselten Maschine wiederherstellen. Sie können eine im angehaltenen Zustand befindliche verschlüsselte virtuelle Maschine mit einem Arbeitsspeicher-Snapshot zwischen ESXi-Hosts migrieren.
vSphere Virtual Machine Encryption und IPv6
Sie können vSphere Virtual Machine Encryption im reinen IPv6- oder gemischten Modus verwenden. Sie können den Schlüsselserver mit IPv6-Adressen konfigurieren. Sie können sowohl den vCenter Server als auch den Schlüsselserver nur mit IPv6-Adressen konfigurieren.
Einschränkungen beim Klonen in vSphere Virtual Machine Encryption
- Bei einem Standardschlüsselanbieter wird das Klonen bedingt unterstützt.
-
Vollständige Klone werden unterstützt. Der Klon erbt den übergeordneten Verschlüsselungszustand und alle Schlüssel. Sie können den vollständigen Klon verschlüsseln, ihn zur Verwendung neuer Schlüssel erneut verschlüsseln oder entschlüsseln.
Verknüpfte Klone werden unterstützt und der Klon erbt den übergeordneten Verschlüsselungsstatus einschließlich der Schlüssel. Sie können den verknüpften Klon nicht entschlüsseln oder einen verknüpften Klon nicht mit unterschiedlichen Schlüsseln erneut verschlüsseln.
Hinweis: Überprüfen Sie, ob andere Anwendungen verknüpfte Klone unterstützen. Beispiel: VMware Horizon ® 7 unterstützt sowohl vollständige Klone als auch Instant Clones, aber keine verknüpften Klone.
-
- Bei einem vertrauenswürdigen Schlüsselanbieter oder einem vSphere Native Key Provider wird das Klonen unterstützt, aber Verschlüsselungsschlüssel können beim Klonen nicht geändert werden. Dieses Verhalten steht im Gegensatz zur Standardverschlüsselung, bei der Sie Schlüssel beim Erstellen eines Klons ändern können. Die folgenden Vorgänge werden von vSphere Trust Authority oder einem vSphere Native Key Provider beim Klonen einer virtuellen Maschine nicht unterstützt:
- Durchführen eines Klonvorgangs von einer nicht verschlüsselten virtuellen Maschine in eine verschlüsselte virtuelle Maschine
- Durchführen eines Klonvorgangs von einer verschlüsselten virtuellen Maschine und Ändern der Verschlüsselungsschlüssel
- Durchführen eines Klonvorgangs von einer verschlüsselten virtuellen Maschine in eine unverschlüsselte virtuelle Maschine
- Instant Clone wird von allen Schlüsselanbietertypen unterstützt. Verschlüsselungsschlüssel können beim Klonen jedoch nicht geändert werden.
Nicht unterstützte Festplattenkonfigurationen bei vSphere Virtual Machine Encryption
Bestimmte Konfigurationstypen von VM-Festplatten werden mit vSphere Virtual Machine Encryption nicht unterstützt.
- RDM (Raw Device Mapping). vSphere Virtual Volumes (vVols) werden jedoch unterstützt.
- Multiwriter- oder freigegebene Festplatten (MSCS, WSFC oder Oracle RAC). Verschlüsselte VM-Home-Dateien werden bei Multiwriter-Festplatten unterstützt. Verschlüsselte virtuelle Festplatten werden bei Multiwriter-Festplatten nicht unterstützt. Wenn Sie versuchen, Multiwriter auf der Seite Einstellungen bearbeiten der virtuellen Maschine mit verschlüsselten virtuellen Festplatten auszuwählen, ist die Schaltfläche OK deaktiviert.
Verschiedene Einschränkungen bei vSphere Virtual Machine Encryption
Zu den anderen Funktionen, die nicht mit vSphere Virtual Machine Encryption funktionieren, gehören:
- vSphere ESXi Dump Collector
- Inhaltsbibliothek
- Inhaltsbibliotheken unterstützen zwei Arten von Vorlagen: OVF- und VM-Vorlagen. Sie können eine verschlüsselte virtuelle Maschine nicht in den OVF-Vorlagentyp exportieren. Das OVF-Tool unterstützt keine verschlüsselten virtuellen Maschinen. Sie können verschlüsselte VM-Vorlagen mithilfe des VM-Vorlagentyps erstellen. Weitere Informationen finden Sie im Administratorhandbuch für vSphere Virtual Machine.
- Software zum Sichern verschlüsselter virtueller Festplatten muss die VMware vSphere Storage API - Data Protection (VADP) verwenden, damit die Festplatten entweder im Hot-Add-Modus oder im NBD-Modus bei aktiviertem SSL gesichert werden können. Es werden jedoch nicht alle Sicherungslösungen unterstützt, die VADP für die Sicherung virtueller Festplatten verwenden. Weitere Informationen erhalten Sie von Ihrem Backupanbieter.
- Lösungen für den VADP-SAN-Transportmodus werden für die Sicherung verschlüsselter virtueller Festplatten nicht unterstützt.
- VADP-Hot-Add-Lösungen werden für verschlüsselte virtuelle Festplatten unterstützt. Die Sicherungssoftware muss die Verschlüsselung der Proxy-VM, die als Teil des Hot-Add-Sicherungsworkflows verwendet wird, unterstützen. Der Anbieter muss über die Rechte für verfügen.
- Sicherungslösungen mithilfe der NBD-SSL-Transportmodi werden für die Sicherung verschlüsselter virtueller Festplatten unterstützt. Die Anwendung des Anbieters muss über die Rechte für verfügen.
- Sie können keine Ausgabe von einer verschlüsselten virtuellen Maschine an einen seriellen oder parallelen Port senden. Selbst wenn die Konfiguration scheinbar erfolgreich ist, wird die Ausgabe an eine Datei gesendet.
- vSphere Virtual Machine Encryption wird in VMware Cloud on AWS nicht unterstützt. Einzelheiten finden Sie unter Verwalten des VMware Cloud on AWS-Datencenters.