Machen Sie sich mit den Vorbehalten bei der Verschlüsselung von virtuellen Maschinen vertraut, um möglicherweise später auftretende Probleme zu vermeiden.
Informationen darüber, welche Geräte und Funktionen nicht bei der Verschlüsselung von virtuellen Maschinen verwendet werden können, finden Sie unter Interoperabilität bei der Verschlüsselung von virtuellen Maschinen.
Beschränkungen für verschlüsselte virtuelle Maschinen
Beachten Sie die folgenden Vorbehalte bei der Planung Ihrer Strategie zur Verschlüsselung von virtuellen Maschinen.
- Wenn Sie eine verschlüsselte Maschine klonen oder einen Storage vMotion-Vorgang durchführen, können Sie versuchen, das Festplattenformat zu ändern. Diese Konvertierungen sind jedoch nicht immer erfolgreich. Wenn Sie beispielsweise eine virtuelle Maschine klonen und versuchen, das Festplattenformat von „lazy-zeroed thick“ in „thin“ zu ändern, behält die Festplatte der virtuellen Maschine das Format „lazy-zeroed thick“ bei.
- Wenn Sie eine Festplatte von einer virtuellen Maschine trennen, werden die Informationen der Speicherrichtlinie für die virtuelle Festplatte nicht gespeichert.
- Wenn die virtuelle Festplatte verschlüsselt ist, müssen Sie die Speicherrichtlinie explizit auf „VM-Speicherrichtlinie“ oder auf eine Speicherrichtlinie festlegen, die Verschlüsselung enthält.
- Wenn die virtuelle Festplatte nicht verschlüsselt ist, können Sie die Speicherrichtlinie ändern, wenn Sie die Festplatte zu einer virtuellen Maschine hinzufügen.
Weitere Informationen finden Sie unter Verschlüsseln von virtuellen Festplatten.
- Entschlüsseln Sie Core-Dumps, bevor Sie eine virtuelle Maschine auf einen anderen Cluster verschieben.
Der vCenter Server speichert keine Schlüsselserver-Schlüssel, sondern nur die Schlüssel-IDs. vCenter Server speichert daher den ESXi-Hostschlüssel nicht dauerhaft. In vSphere 7.0 Update 2 und höher können verschlüsselte Geräte auch dann funktionieren, wenn der Zugriff auf einen Schlüsselserver unterbrochen ist. Weitere Informationen finden Sie unter vSphere-Schlüsselpersistenz auf ESXi-Hosts.
Unter gewissen Umständen, zum Beispiel beim Verschieben des ESXi-Hosts auf einen anderen Cluster und beim Neustart des Hosts weist vCenter Server dem Host einen neuen Hostschlüssel zu. Sie können keine vorhandenen Core-Dumps mit dem neuen Hostschlüssel entschlüsseln.
- OVF-Export wird für eine verschlüsselte virtuelle Maschine nicht unterstützt.
- Die Verwendung des VMware Host Client zum Registrieren einer verschlüsselten virtuellen Maschine wird nicht unterstützt.
Virtuelle Maschine im gesperrten Zustand
Wenn der Schlüssel für eine virtuelle Maschine oder mindestens ein Schlüssel für die virtuellen Festplatten fehlt, wechselt die virtuelle Maschine in einen gesperrten Zustand. In einem gesperrten Zustand können Sie keine Vorgänge für die virtuelle Maschine durchführen.
- Wenn Sie eine virtuelle Maschine und deren Festplatten über den vSphere Client verschlüsseln, wird derselbe Schlüssel für beide Vorgänge verwendet.
- Wenn Sie die Verschlüsselung mit der API durchführen, können Sie verschiedene Verschlüsselungsschlüssel für die virtuelle Maschine und deren Festplatten verwenden. Wenn Sie in diesem Fall versuchen, eine virtuelle Maschine einzuschalten, und einer der Festplattenschlüssel fehlt, schlägt das Einschalten fehl. Wenn Sie die virtuelle Festplatte entfernen, können Sie die virtuelle Maschine einschalten.
Vorschläge zur Fehlerbehebung finden Sie unter Beheben von Problemen in Bezug auf fehlende Verschlüsselungsschlüssel.