vSphere Virtual Machine Encryption weist einige Einschränkungen in Bezug auf Geräte und Funktionen auf, mit denen Interoperabilität möglich ist.
Die folgenden Einschränkungen und Anmerkungen beziehen sich auf die Verwendung von vSphere Virtual Machine Encryption. Ähnliche Informationen zur Verwendung der vSAN-Verschlüsselung finden Sie in der Dokumentation Verwalten von VMware vSAN.
Einschränkungen bei bestimmten Verschlüsselungsaufgaben
Für die Durchführung bestimmter Aufgaben auf einer verschlüsselten virtuellen Maschine gelten einige Einschränkungen.
- Bei den meisten verschlüsselten virtuellen Maschinen müssen Sie die virtuelle Maschine ausschalten. Sie können eine verschlüsselte virtuelle Maschine klonen und beim Einschalten der virtuellen Maschine eine oberflächliche erneute Verschlüsselung vornehmen.
Hinweis: Virtuelle Maschinen, die mit IDE-Controllern konfiguriert sind, müssen ausgeschaltet werden, um eine flache erneute Schlüsselerstellung durchzuführen.
- Auf einer virtuellen Maschine mit Snapshots kann keine tiefe Neuverschlüsselung durchgeführt werden. Auf einer virtuellen Maschine mit Snapshots kann eine flache Neuverschlüsselung durchgeführt werden.
Virtual Trusted Platform Module-Geräte und vSphere Virtual Machine Encryption
Ein vTPM (Virtual Trusted Platform Module) ist eine softwarebasierte Darstellung eines physischen Trusted Platform Module 2.0-Chips. Sie können ein vTPM zu einer neuen oder einer vorhandenen virtuellen Maschine hinzufügen. Zum Hinzufügen eines vTPM zu einer virtuellen Maschine müssen Sie einen Schlüsselanbieter in Ihrer vSphere-Umgebung konfigurieren. Wenn Sie ein vTPM konfigurieren, werden die Home-Dateien der virtuellen Maschine verschlüsselt (Arbeitsspeicherauslagerung, NVRAM-Dateien usw.). Die Festplattendateien oder VMDK-Dateien werden nicht automatisch verschlüsselt. Sie haben die Möglichkeit, Verschlüsselung für die Festplatten der virtuellen Maschine explizit hinzuzufügen.
Ab vSphere 8.0 können Sie beim Klonen einer virtuellen Maschine, die ein vTPM enthält, mit einem neuen, leeren vTPM beginnen, das seine eigenen geheimen Schlüssel und Identität erhält.
vSphere Virtual Machine Encryption sowie Zustand „Angehalten“ und Snapshots
Sie können eine im angehaltenen Zustand befindliche verschlüsselte virtuelle Maschine fortsetzen oder einen Arbeitsspeicher-Snapshot einer verschlüsselten Maschine wiederherstellen. Sie können eine im angehaltenen Zustand befindliche verschlüsselte virtuelle Maschine mit einem Arbeitsspeicher-Snapshot zwischen ESXi-Hosts migrieren.
vSphere Virtual Machine Encryption und IPv6
Sie können vSphere Virtual Machine Encryption im reinen IPv6- oder gemischten Modus verwenden. Sie können den Schlüsselserver mit IPv6-Adressen konfigurieren. Sie können sowohl den vCenter Server als auch den Schlüsselserver nur mit IPv6-Adressen konfigurieren.
Einschränkungen beim Klonen in vSphere Virtual Machine Encryption
-
Vollständige Klone werden unterstützt. Der Klon erbt den übergeordneten Verschlüsselungszustand und alle Schlüssel. Sie können den vollständigen Klon verschlüsseln, ihn zur Verwendung neuer Schlüssel erneut verschlüsseln oder entschlüsseln.
Verknüpfte Klone werden unterstützt und der Klon erbt den übergeordneten Verschlüsselungsstatus einschließlich der Schlüssel. Sie können den verknüpften Klon nicht entschlüsseln oder einen verknüpften Klon nicht mit unterschiedlichen Schlüsseln erneut verschlüsseln.
Hinweis: Überprüfen Sie, ob andere Anwendungen verknüpfte Klone unterstützen. Beispiel: VMware Horizon ® 7 unterstützt sowohl vollständige Klone als auch Instant Clones, aber keine verknüpften Klone. - Instant Clone wird von allen Schlüsselanbietertypen unterstützt. Verschlüsselungsschlüssel können beim Klonen jedoch nicht geändert werden.
- Sie können eine verknüpfte Klon-VM aus einer verschlüsselten virtuellen Maschine erstellen. Die verknüpfte Klon-VM enthält dieselben Schlüssel. Sie können die Home-Dateien der verschlüsselten virtuellen Maschine eines verknüpften Klons erneut verschlüsseln. Sie können die Festplatten aber nicht erneut verschlüsseln.
Einschränkungen bei vSphere Native Key Provider
Bestimmte Vorgänge werden mit vSphere Native Key Provider nicht unterstützt.
- Sie können vSphere Native Key Provider nicht verwenden, um virtuelle Maschinen auf einem eigenständigen Host zu verschlüsseln. Der Host muss sich in einem Cluster befinden, um vSphere Native Key Provider verwenden zu können.
- Sie können einen Host, der virtuelle Maschinen enthält, die mit vSphere Native Key Provider verschlüsselt wurden, nur dann in einen anderen Cluster verschieben, wenn der Zielcluster denselben vSphere Native Key Provider enthält. (Die verschlüsselten virtuellen Maschinen auf dem verschobenen Host werden gesperrt, wenn die Verschlüsselungsschlüssel nicht vorhanden sind und der Zielcluster nicht denselben vSphere Native Key Provider aufweist.)
- Sie können eine von vSphere Native Key Provider verschlüsselte virtuelle Maschine nicht bei einem Legacy-Host registrieren, da vSphere Native Key Provider nicht unterstützt wird.
- Sie können eine von vSphere Native Key Provider verschlüsselte virtuelle Maschine nicht auf einem eigenständigen Host registrieren, da sich der Host in einem Cluster befinden muss.
Nicht unterstützte Festplattenkonfigurationen bei vSphere Virtual Machine Encryption
Bestimmte Konfigurationstypen von VM-Festplatten werden mit vSphere Virtual Machine Encryption nicht unterstützt.
- RDM (Raw Device Mapping). vSphere Virtual Volumes (vVols) werden jedoch unterstützt.
- Multiwriter- oder freigegebene Festplatten (MSCS, WSFC oder Oracle RAC). Verschlüsselte VM-Home-Dateien werden bei Multiwriter-Festplatten unterstützt. Verschlüsselte virtuelle Festplatten werden bei Multiwriter-Festplatten nicht unterstützt. Wenn Sie versuchen, Multiwriter auf der Seite Einstellungen bearbeiten der virtuellen Maschine mit verschlüsselten virtuellen Festplatten auszuwählen, ist die Schaltfläche OK deaktiviert.
Verschiedene Einschränkungen bei vSphere Virtual Machine Encryption
Zu den anderen Funktionen, die nicht mit vSphere Virtual Machine Encryption funktionieren, gehören:
- vSphere ESXi Dump Collector
- Inhaltsbibliothek
- Inhaltsbibliotheken unterstützen zwei Arten von Vorlagen: OVF- und VM-Vorlagen. Sie können eine verschlüsselte virtuelle Maschine nicht in den OVF-Vorlagentyp exportieren. Das OVF-Tool unterstützt keine verschlüsselten virtuellen Maschinen. Sie können verschlüsselte VM-Vorlagen mithilfe des VM-Vorlagentyps erstellen. Ab vSphere 8.0 enthält der Befehl ovftool eine Option zum Hinzufügen eines vTPM-Platzhalters zur OVF-Deskriptordatei. Bei der Bereitstellung einer virtuellen Maschine anhand einer solchen Vorlage erstellt vCenter Server ein vTPM mit eindeutigen geheimen Schlüsseln auf der virtuellen Zielmaschine. Weitere Informationen finden Sie im Administratorhandbuch für vSphere Virtual Machine.
- Software zum Sichern verschlüsselter virtueller Festplatten muss die VMware vSphere Storage API - Data Protection (VADP) verwenden, damit die Festplatten entweder im Hot-Add-Modus oder im NBD-Modus bei aktiviertem SSL gesichert werden können. Es werden jedoch nicht alle Sicherungslösungen unterstützt, die VADP für die Sicherung virtueller Festplatten verwenden. Weitere Informationen erhalten Sie von Ihrem Backupanbieter.
- Lösungen für den VADP-SAN-Transportmodus werden für die Sicherung verschlüsselter virtueller Festplatten nicht unterstützt.
- VADP-Hot-Add-Lösungen werden für verschlüsselte virtuelle Festplatten unterstützt. Die Sicherungssoftware muss die Verschlüsselung der Proxy-VM, die als Teil des Hot-Add-Sicherungsworkflows verwendet wird, unterstützen. Der Anbieter muss über die Rechte für verfügen.
- Sicherungslösungen mithilfe der NBD-SSL-Transportmodi werden für die Sicherung verschlüsselter virtueller Festplatten unterstützt. Die Anwendung des Anbieters muss über die Rechte für verfügen.
- Sie können keine Ausgabe von einer verschlüsselten virtuellen Maschine an einen seriellen oder parallelen Port senden. Selbst wenn die Konfiguration scheinbar erfolgreich ist, wird die Ausgabe an eine Datei gesendet.
- vSphere Virtual Machine Encryption wird in VMware Cloud on AWS nicht unterstützt. Einzelheiten finden Sie unter Verwalten des VMware Cloud on AWS-Datencenters.