vSphere vMotion verwendet beim Migrieren verschlüsselter virtueller Maschinen immer Verschlüsselung. Bei nicht verschlüsseln virtuellen Maschinen können Sie eine der verschlüsselten vSphere vMotion-Optionen auswählen.
Verschlüsseltes vSphere vMotion sichert die Vertraulichkeit, Integrität und Authentizität der mit vSphere vMotion übertragenen Daten. vSphere unterstützt verschlüsseltes vMotion nicht verschlüsselter und verschlüsselter virtueller Maschinen für vCenter Server-Instanzen.
Was wird verschlüsselt?
Bei verschlüsselten Festplatten werden die übertragenen Daten immer verschlüsselt übertragen. Bei unverschlüsselten Festplatten gilt Folgendes:
Wenn Festplattendaten innerhalb eines Hosts übertragen werden, also ohne den Host zu ändern, ändern Sie nur den Datenspeicher; die Übertragung wird nicht verschlüsselt.
Wenn Festplattendaten zwischen Hosts übertragen und verschlüsseltes vMotion verwendet wird, wird die Übertragung verschlüsselt. Wenn verschlüsseltes vMotion nicht verwendet wird, wird die Übertragung unverschlüsselt.
Bei verschlüsselten virtuellen Maschinen wird für die Migration mit vSphere vMotion immer verschlüsseltes vSphere vMotion verwendet. Sie können verschlüsseltes vSphere vMotion für verschlüsselte virtuelle Maschinen nicht deaktivieren.
Zustände von verschlüsseltem vSphere vMotion
Bei nicht verschlüsselten virtuellen Maschinen können Sie für die Verschlüsselung von vSphere vMotion einen der folgenden Zustände festlegen. Der Standard ist „Opportunistisch“.
- Deaktiviert
-
Verschlüsseltes vSphere vMotion wird nicht verwendet.
- Opportunistisch
-
Verschlüsseltes vSphere vMotion wird verwendet, wenn diese Funktion von Quell- und Zielhosts unterstützt wird. Nur ESXi Version 6.5 und höher verwendet verschlüsseltes vSphere vMotion.
- Erforderlich
-
Nur verschlüsseltes vSphere vMotion zulassen. Wenn der Quell- oder Zielhost verschlüsseltes vSphere vMotion nicht unterstützt, ist die Migration mit vSphere vMotion nicht zulässig.
Wenn Sie eine virtuelle Maschine verschlüsseln, speichert die virtuelle Maschine einen Eintrag der aktuellen Verschlüsselungseinstellung von vSphere vMotion. Wenn Sie zu einem späteren Zeitpunkt die Verschlüsselung der virtuellen Maschine aktivieren, verbleibt die verschlüsselte vMotion-Einstellung im Zustand „Erforderlich“, bis Sie diese Einstellung explizit ändern. Sie können diese Einstellungen über Einstellungen bearbeiten ändern.
Derzeit müssen Sie die vSphere APIs verwenden, um verschlüsselte virtuelle Maschinen über vCenter Server-Instanzen hinweg zu migrieren oder zu klonen. Weitere Informationen finden Sie unter Programmierhandbuch zum vSphere Web Services SDK und vSphere Web Services-API-Referenz.
Migrieren oder Klonen verschlüsselter virtueller Maschinen über vCenter Server-Instanzen hinweg
vSphere vMotion bietet Unterstützung für die Migration und das Klonen verschlüsselter virtueller Maschinen über vCenter Server-Instanzen hinweg.
Beim Migrieren oder Klonen verschlüsselter virtueller Maschinen über vCenter Server-Instanzen müssen die Quell- und Zielinstanz von vCenter Server für die gemeinsame Nutzung des Schlüsselanbieters konfiguriert werden, der zum Verschlüsseln der virtuellen Maschine verwendet wurde. Darüber hinaus muss der Name des Schlüsselanbieters sowohl auf der Quell- als auch auf der Zielinstanz in vCenter Server identisch sein und folgende Eigenschaften aufweisen:
Standardschlüsselanbieter: Derselbe Schlüsselserver (oder mehrere Schlüsselserver) muss sich im Schlüsselanbieter befinden.
Vertrauenswürdiger Schlüsselanbieter: Derselbe vSphere Trust Authority-Dienst muss auf dem Zielhost konfiguriert werden.
vSphere Native Key Provider: Muss denselben KDK aufweisen.
Der Ziel-vCenter Server stellt sicher, dass der Verschlüsselungsmodus für den ESXi-Zielhost aktiviert ist. Hiermit wird gewährleistet, dass der Host kryptografisch als „sicher“ gilt.
Die folgenden Rechte sind erforderlich, wenn Sie vSphere vMotion verwenden, um eine verschlüsselte virtuelle Maschine über vCenter Server-Instanzen hinweg zu migrieren oder zu klonen.
Migrieren:
auf der virtuellen MaschineKlonen:
auf der virtuellen Maschine
Außerdem muss der Ziel-vCenter Server die Berechtigung aufweisen. Wenn der ESXi-Zielhost nicht im sicheren Modus ausgeführt wird, muss sich die Berechtigung ebenfalls auf dem Ziel-vCenter Server befinden.
Bestimmte Aufgaben sind nicht zulässig, wenn virtuelle Maschinen (nicht verschlüsselt oder verschlüsselt) auf demselben vCenter Server oder auf mehreren vCenter Server-Instanzen migriert werden.
Sie können die VM-Speicherrichtlinie nicht ändern.
Sie können keine Schlüsseländerung vornehmen.
Sie können die VM-Speicherrichtlinie beim Klonen virtueller Maschinen ändern.
Mindestanforderungen zum Migrieren oder Klonen verschlüsselter virtueller Maschinen über vCenter Server-Instanzen hinweg
Die Mindestanforderungen an die Version zum Migrieren oder Klonen verschlüsselter virtueller Maschinen des Standardschlüsselanbieters über vCenter Server-Instanzen mithilfe von vSphere vMotion lauten:
Auf der Quell- und Zielinstanz von vCenter Server muss Version 7.0 oder höher installiert sein.
Auf dem Quell- und Zielhost von ESXi muss Version 6.7 oder höher installiert sein.
Die Mindestanforderungen an die Version zum Migrieren oder Klonen verschlüsselter virtueller Maschinen des vertrauenswürdigen Schlüsselanbieters über vCenter Server-Instanzen mithilfe von vSphere vMotion lauten:
Der vSphere Trust Authority-Dienst muss für den Zielhost konfiguriert werden und der Zielhost muss bestätigt sein.
Die Verschlüsselung kann bei der Migration nicht geändert werden. Eine nicht verschlüsselte Festplatte kann beispielsweise nicht verschlüsselt werden, während die virtuelle Maschine auf den neuen Speicher migriert wird.
Sie können eine verschlüsselte virtuelle Standardmaschine auf einen vertrauenswürdigen Host migrieren. Der Name des Schlüsselanbieters muss sowohl auf der Quell- als auch auf der Zielinstanz von vCenter Server identisch sein.
Sie können eine verschlüsselte virtuelle vSphere Trust Authority-Maschine nicht auf einen nicht vertrauenswürdigen Host migrieren.
vMotion des vertrauenswürdigen Schlüsselanbieters und vCenter Server-übergreifendes vMotion
Der vertrauenswürdige Schlüsselanbieter bietet vollständige Unterstützung für vMotion über mehrere ESXi-Hosts hinweg.
vCenter Server übergreifendes vMotion wird mit den folgenden Einschränkungen unterstützt.
Der benötigte vertrauenswürdige Dienst muss auf dem Zielhost konfiguriert und der Zielhost muss bestätigt werden.
Die Verschlüsselung kann bei der Migration nicht geändert werden. Eine Festplatte kann beispielsweise nicht verschlüsselt werden, während die virtuelle Maschine auf den neuen Speicher migriert wird.
Bei der Durchführung von vCenter Server-übergreifendem vMotion überprüft vCenter Server, ob der vertrauenswürdige Schlüsselanbieter auf dem Zielhost verfügbar ist und ob der Host darauf zugreifen kann.
vMotion des vSphere Native Key Providers und vCenter Server-übergreifendes vMotion
vSphere Native Key Provider unterstützt vMotion und Verschlüsseltes vMotion für ESXi-Hosts. vCenter Server-übergreifendes vMotion wird unterstützt, wenn vSphere Native Key Provider auf dem Zielhost konfiguriert ist.