Eine geklonte, verschlüsselte virtuelle Maschine wird mit denselben Schlüsseln verschlüsselt, es sei denn, Sie ändern sie. Um Schlüssel zu ändern, können Sie vSphere Client, PowerCLI oder die API verwenden. Wenn Sie die PowerCLI oder die API verwenden, können Sie die verschlüsselte virtuelle Maschine klonen und die Schlüssel in einem Schritt ändern.

Während des Klonens können Sie die folgenden Vorgänge ausführen.

  • Erstellen Sie eine verschlüsselte virtuelle Maschine anhand einer nicht verschlüsselten oder Vorlagen-VM.
  • Erstellen Sie eine entschlüsselte virtuelle Maschine anhand einer verschlüsselten oder Vorlagen-VM.
  • Verschlüsseln Sie die virtuelle Zielmaschine erneut mit Schlüsseln, die sich von denen der virtuellen Quellmaschine unterscheiden.
  • In vSphere 8.0 und höher beginnt der Vorgang bei Auswahl der Option Ersetzen für eine virtuelle Maschine mit einem vTPM mit einem neuen, leeren vTPM, das seine eigenen geheimen Schlüssel und seine eigene Identität erhält.
Hinweis: vSphere 8.0 und höher enthält die erweiterte Einstellung vpxd.clone.tpmProvisionPolicy, um das standardmäßige Klonverhalten für vTPMs als „ersetzen“ festzulegen.

Sie können eine Instant Clone-VM anhand einer verschlüsselten virtuellen Maschine unter der Voraussetzung erstellen, dass der Instant Clone denselben Schlüssel wie die virtuelle Quellmaschine verwendet. Sie können Schlüssel weder auf der Quell- noch auf der Instant Clone-VM erneut verschlüsseln.

Informationen zur Verwendung der API zum Klonen verschlüsselter Maschinen finden Sie unter Programmierhandbuch zum vSphere Web Services SDK.

Voraussetzungen

  • Ein Schlüsselanbieter muss konfiguriert und aktiviert sein.
  • Erstellen Sie eine Speicherrichtlinie für die Verschlüsselung oder verwenden Sie das im Lieferumfang enthaltene Beispiel für eine VM-Verschlüsselungsrichtlinie.
  • Erforderliche Rechte (gilt für alle Schlüsselanbieter):
    • Verschlüsselungsvorgänge.Klonen
    • Verschlüsselungsvorgänge.Verschlüsseln
    • Verschlüsselungsvorgänge.Entschlüsseln
    • Verschlüsselungsvorgänge.Erneut verschlüsseln
    • Wenn der Hostverschlüsselungsmodus nicht auf „Aktiviert“ festgelegt ist, benötigen Sie außerdem Verschlüsselungsvorgänge.Host registrieren-Rechte.

Prozedur

  1. Navigieren Sie zur virtuellen Maschine in der Bestandsliste des vSphere Client.
  2. Um einen Klon einer verschlüsselten Maschine zu erstellen, klicken Sie mit der rechten Maustaste auf die virtuelle Maschine, wählen Sie Klonen > In virtueller Maschine klonen und folgen Sie den Anweisungen.
    1. Geben Sie auf der Seite Namen und Ordner auswählen einen Namen und den Zielspeicherort für den Klon an.
    2. Geben Sie auf der Seite Computing-Ressource auswählen ein Objekt an, für das Sie über Rechte verfügen.
    3. (Optional) Ändern Sie die Schlüssel für die geklonte vTPM.
      Abbildung 1. TPM-Bereitstellungsrichtlinie auswählen
      Dieser Screenshot zeigt die Auswahlmöglichkeiten für die TPM-Bereitstellungsrichtlinie beim Klonen einer virtuellen Maschine mit vTPM.
      Durch das Klonen einer virtuellen Maschine wird die gesamte virtuelle Maschine dupliziert, einschließlich des vTPM und der jeweiligen geheimen Schlüssel, die zur Ermittlung der Identität eines Systems verwendet werden können. Zum Ändern geheimer Schlüssel auf einem vTPM wählen Sie Erstellen für TPM-Bereitstellungsrichtlinie aus.
      Hinweis: Wenn Sie die geheimen Schlüssel eines vTPM ersetzen, werden alle Schlüssel, einschließlich arbeitslastbezogener Schlüssel, ersetzt. Stellen Sie als Best Practice sicher, dass Ihre Arbeitslasten kein vTPM mehr verwenden, bevor Sie die Schlüssel ersetzen. Andernfalls funktionieren die Arbeitslasten in der geklonten virtuellen Maschine möglicherweise nicht ordnungsgemäß.
    4. Konfigurieren Sie den Datenspeicher auf der Seite Speicher auswählen. Sie können die Speicherrichtlinie im Rahmen des Klonvorgangs ändern. Wenn Sie beispielsweise statt einer Verschlüsselungsrichtlinie eine Nicht-Verschlüsselungsrichtlinie verwenden, werden die Festplatten entschlüsselt.
    5. Wählen Sie auf der Seite Klonoptionen auswählen die Klonoptionen aus, wie in der Dokumentation zu vSphere-Administratorhandbuch für virtuelle Maschinen beschrieben.
    6. Überprüfen Sie auf der Seite Bereit zum Abschließen die dort angezeigten Informationen und klicken Sie auf Beenden.
  3. (Optional) Ändern Sie die Schlüssel für die geklonte virtuelle Maschine.
    Die geklonte virtuelle Maschine wird standardmäßig mit denselben Schlüsseln erstellt wie die übergeordnete virtuelle Maschine. Es wird empfohlen, die Schlüssel der geklonten virtuellen Maschine zu ändern, um sicherzustellen, dass mehrere virtuelle Maschinen nicht über dieselben Schlüssel verfügen.
    1. Entscheiden Sie sich für eine flache oder tiefe Neuverschlüsselung.
      Wenn Sie einen anderen Daten-Verschlüsselungsschlüssel (Data Encryption Key, DEK) und einen anderen Schlüssel-Verschlüsselungsschlüssel (Key Encryption Key, KEK) verwenden möchten, führen Sie eine tiefe Neuverschlüsselung der geklonten virtuellen Maschine durch. Wenn Sie einen anderen KEK verwenden möchten, führen Sie eine flache Neuverschlüsselung der geklonten virtuellen Maschine durch. Bei einer tiefen Neuverschlüsselung müssen Sie die virtuelle Maschine ausschalten. Sie können eine flache Neuverschlüsselung bei eingeschalteter virtueller Maschine durchführen, sofern auf der virtuellen Maschine Snapshots vorhanden sind. Die flache Neuverschlüsselung einer verschlüsselten virtuellen Maschine mit Snapshots ist nur in einem einzelnen Snapshot-Zweig (Festplattenkette) zulässig. Mehrere Snapshot-Zweige werden nicht unterstützt. Wenn die flache Neuverschlüsselung fehlschlägt, bevor alle Verknüpfungen in der Kette mit dem neuen KEK aktualisiert werden, können Sie weiterhin auf die verschlüsselte virtuelle Maschine zugreifen, vorausgesetzt, Sie verfügen über die alten und neuen KEKs.
    2. Verschlüsseln Sie den Klon erneut über die API. Siehe Programmierhandbuch zum vSphere Web Services SDK.