Wenn Sie eine verschlüsselte virtuelle Maschine klonen, wird der Klon mit den gleichen Schlüsseln verschlüsselt, es sei denn, Sie ändern sie. Zum Ändern von Schlüsseln können Sie den vSphere Client, den PowerCLI oder die API verwenden.

Wenn Sie den PowerCLI oder die API verwenden, können Sie die verschlüsselte virtuelle Maschine klonen und Schlüssel in einem Schritt ändern. Weitere Informationen finden Sie im Programmierhandbuch zum vSphere Web Services SDK.

Während des Klonens können Sie die folgenden Vorgänge ausführen.
  • Erstellen Sie eine verschlüsselte virtuelle Maschine anhand einer nicht verschlüsselten VM oder einer VM-Vorlage.
  • Erstellen Sie eine entschlüsselte virtuelle Maschine anhand einer verschlüsselten VM oder einer VM-Vorlage.
  • Verschlüsseln Sie die virtuelle Zielmaschine erneut mit Schlüsseln, die sich von denen der virtuellen Quellmaschine unterscheiden.
  • Ab vSphere 8.0 beginnt die Auswahl der Option Ersetzen für eine virtuelle Maschine mit einem vTPM-Gerät mit einem neuen, leeren vTPM, das seine eigenen geheimen Schlüssel und Identitäten erhält.
Hinweis: vSphere 8.0 enthält die erweiterte Einstellung „vpxd.clone.tpmProvisionPolicy“, um das standardmäßige Klonverhalten für vTPMs auf „ersetzen“ festzulegen.
Sie können eine Instant Clone-VM anhand einer verschlüsselten virtuellen Maschine unter der Voraussetzung erstellen, dass der Instant Clone denselben Schlüssel wie die virtuelle Quellmaschine verwendet. Sie können Schlüssel weder auf der Quell- noch auf der Instant Clone-VM erneut verschlüsseln. Weitere Informationen finden Sie im Programmierhandbuch zum vSphere Web Services SDK.

Voraussetzungen

  • Ein Schlüsselanbieter muss konfiguriert und aktiviert sein.
  • Erstellen Sie eine Speicherrichtlinie für die Verschlüsselung oder verwenden Sie das im Lieferumfang enthaltene Beispiel für eine VM-Verschlüsselungsrichtlinie.
  • Erforderliche Rechte:
    • Verschlüsselungsvorgänge.Klonen
    • Verschlüsselungsvorgänge.Verschlüsseln
    • Verschlüsselungsvorgänge.Entschlüsseln
    • Verschlüsselungsvorgänge.Erneut verschlüsseln
    • Wenn der Hostverschlüsselungsmodus nicht auf Aktiviert gesetzt ist, müssen Sie zusätzliche über die Berechtigung Verschlüsselungsvorgänge.Host registrieren verfügen.

Prozedur

  1. Navigieren Sie zur virtuellen Maschine in der Bestandsliste des vSphere Client.
  2. Klicken Sie mit der rechten Maustaste auf die virtuelle Maschine und wählen Sie Klonen > Auf virtuelle Maschine klonen > aus.
  3. Navigieren Sie durch die Seiten des Assistenten.
    1. Geben Sie auf der Seite Namen und Ordner auswählen einen Namen ein und wählen Sie ein Datencenter oder einen Ordner aus, in dem diese bereitgestellt werden soll.
    2. Wählen Sie auf der Seite Computing-Ressource auswählen ein Objekt aus, für das Sie über Berechtigungen zum Erstellen verschlüsselter virtueller Maschinen verfügen. Informationen zu den Voraussetzungen und den erforderlichen Rechten für Verschlüsselungsaufgaben finden Sie in der Dokumentation zur vSphere-Sicherheit.
    3. Ändern Sie die Schlüssel für die geklonte vTPM.

      Durch das Klonen einer virtuellen Maschine wird die gesamte virtuelle Maschine dupliziert, einschließlich des vTPM und der jeweiligen geheimen Schlüssel, die zur Ermittlung der Identität eines Systems verwendet werden können. Zum Ändern geheimer Schlüssel auf einem vTPM wählen Sie Ersetzen für TPM-Bereitstellungsrichtlinie aus.

      Hinweis:

      Wenn Sie die geheimen Schlüssel eines vTPM ersetzen, werden alle Schlüssel, einschließlich arbeitslastbezogener Schlüssel, ersetzt. Stellen Sie als Best Practice sicher, dass Ihre Arbeitslasten kein vTPM mehr verwenden, bevor Sie die Schlüssel ersetzen. Andernfalls funktionieren die Arbeitslasten in der geklonten virtuellen Maschine möglicherweise nicht ordnungsgemäß.

    4. Wählen Sie auf der Seite Speicher auswählen den Datenspeicher oder den Datenspeicher-Cluster aus, in dem die Konfigurationsdateien der Vorlage und alle virtuellen Festplatten gespeichert werden sollen. Sie können die Speicherrichtlinie im Rahmen des Klonvorgangs ändern. Wenn Sie beispielsweise statt einer Verschlüsselungsrichtlinie eine Nicht-Verschlüsselungsrichtlinie verwenden, werden die Festplatten entschlüsselt.
    5. Wählen Sie auf der Seite Klonoptionen auswählen weitere Anpassungsoptionen aus.
    6. Überprüfen Sie auf der Seite Bereit zum Abschließen die dort angezeigten Informationen und klicken Sie auf Beenden.
  4. (Optional) Ändern Sie die Schlüssel für die geklonte virtuelle Maschine.
    Die geklonte virtuelle Maschine wird standardmäßig mit denselben Schlüsseln erstellt wie die übergeordnete virtuelle Maschine. Es wird empfohlen, die Schlüssel der geklonten virtuellen Maschine zu ändern, um sicherzustellen, dass nicht mehrere virtuelle Maschinen dieselben Schlüssel aufweisen.
    1. Entscheiden Sie sich für eine flache oder tiefe Neuverschlüsselung.

      Wenn Sie einen anderen Daten-Verschlüsselungsschlüssel (Data Encryption Key, DEK) und einen anderen Schlüssel-Verschlüsselungsschlüssel (Key Encryption Key, KEK) verwenden möchten, führen Sie eine tiefe Neuverschlüsselung der geklonten virtuellen Maschine durch. Wenn Sie einen anderen KEK verwenden möchten, führen Sie eine flache Neuverschlüsselung der geklonten virtuellen Maschine durch. Bei einer tiefen Neuverschlüsselung müssen Sie die virtuelle Maschine ausschalten. Sie können eine flache Neuverschlüsselung bei eingeschalteter virtueller Maschine durchführen, sofern auf der virtuellen Maschine Snapshots vorhanden sind. Die flache Neuverschlüsselung einer verschlüsselten virtuellen Maschine mit Snapshots ist nur in einem einzelnen Snapshot-Zweig (Festplattenkette) zulässig. Mehrere Snapshot-Zweige werden nicht unterstützt. Wenn die flache Neuverschlüsselung fehlschlägt, bevor alle Verknüpfungen in der Kette mit dem neuen KEK aktualisiert werden, können Sie weiterhin auf die verschlüsselte virtuelle Maschine zugreifen, vorausgesetzt, Sie verfügen über die alten und neuen KEKs.

    2. Verschlüsseln Sie den Klon erneut über die API. Weitere Informationen finden Sie im Programmierhandbuch zum vSphere Web Services SDK.