El cifrado de máquinas virtuales de vSphere tiene algunas limitaciones respecto de los dispositivos y las funciones con los que puede interoperar en vSphere 6.5 y versiones posteriores.
Las siguientes limitaciones y comentarios hacen referencia al uso del cifrado de máquinas virtuales de vSphere. Para obtener información similar sobre cómo usar el cifrado de vSAN, consulte la documentación de Administrar VMware vSAN.
Limitaciones de ciertas tareas de cifrado
Se aplican algunas restricciones al realizar ciertas tareas en una máquina virtual cifrada.
- No puede realizar la mayoría de operaciones de cifrado en una máquina virtual encendida. La máquina virtual debe estar apagada. Se puede clonar una máquina virtual cifrada y se puede realizar un cifrado superficial mientras la máquina virtual está encendida.
- No se puede realizar una repetición de cifrado profundo en una máquina virtual con instantáneas. Puede realizar una repetición de cifrado superficial en una máquina virtual con instantáneas.
Dispositivos del módulo de plataforma de confianza virtual y cifrado de máquinas virtuales de vSphere
Un módulo de plataforma de confianza virtual (virtual Trusted Platform Module, vTPM) es una representación basada en software de un chip de módulo de plataforma de confianza 2.0 físico. Se puede agregar un vTPM a una máquina virtual nueva o existente. Para agregar un vTPM a una máquina virtual, debe configurar un servidor de administración de claves (key management server, KMS) en el entorno de vSphere. Cuando se configura un vTPM, se cifran los archivos de “inicio” de la máquina virtual (intercambio de memoria, archivos de NVRAM, etc.). Los archivos de disco, o archivos VMDK, no se cifran automáticamente. Puede optar por agregar el cifrado de forma explícita para los discos de la máquina virtual.
Cifrado y estado suspendido de máquinas virtuales de vSphere e instantáneas
A partir de vSphere 6.7, puede reanudar la operación desde una máquina virtual cifrada en estado de suspensión o revertir a una instantánea de memoria de una máquina cifrada. Puede migrar una máquina virtual cifrada con una instantánea de memoria y el estado de suspensión entre hosts ESXi.
Cifrado de máquinas virtuales de vSphere e IPv6
Puede utilizar el cifrado de máquinas virtuales de vSphere con el modo IPv6 puro o en modo mixto. Puede configurar el servidor KMS con direcciones IPv6. Puede configurar tanto vCenter Server como el KMS con solo direcciones IPv6.
Limitaciones sobre la clonación en el cifrado de máquinas virtuales de vSphere
- Se admite la clonación en determinadas condiciones.
-
Se admite la clonación completa. El clon hereda el estado de cifrado del elemento principal, incluidas las claves. Puede cifrar el clon completo o volver a cifrarlo para usar claves nuevas, o descifrar el clon completo.
Se admiten los clones vinculados y el clon hereda el estado de cifrado del elemento principal, incluidas las claves. No se puede descifrar el clon vinculado ni volver a cifrarlo con claves distintas.
Nota: Compruebe que otras aplicaciones admitan clones vinculados. Por ejemplo, VMware Horizon ® 7 admite clones completos y clones instantáneos, pero no clones vinculados.
-
- Se admite la opción de clon instantáneo, pero no se pueden cambiar las claves de cifrado en el clon.
Configuraciones de disco no compatibles con el cifrado de máquina virtual de vSphere
No se admiten ciertos tipos de configuraciones de disco de máquina virtual con el cifrado de máquinas virtuales de vSphere.
- Asignación de dispositivos sin formato (Raw Device Mapping, RDM). Sin embargo, se admiten vSphere Virtual Volumes (vVols).
- Multiescritura o discos compartidos (MSCS, WSFC u Oracle RAC). Los archivos de "inicio" de máquina virtual cifrados son compatibles con los discos de multiescritura. Los discos virtuales cifrados no son compatibles con los discos de multiescritura. Si intenta seleccionar Multiescritura en la página Editar configuración de la máquina virtual con discos virtuales cifrados, se desactivará el botón Aceptar.
Varias limitaciones en el cifrado de máquinas virtuales de vSphere
Entre las funciones que no funcionan con el cifrado de máquinas virtuales de vSphere se encuentran las siguientes:
- vSphere Fault Tolerance
- vSphere ESXi Dump Collector
- Migración con vMotion de una máquina virtual cifrada a una instancia de vCenter Server distinta. Se admite la migración cifrada con vMotion de una máquina virtual no cifrada.
- Biblioteca de contenido
- Las bibliotecas de contenido admiten dos tipos de plantillas, el tipo de plantilla de OVF y el tipo de plantilla de máquina virtual. No puede exportar una máquina virtual cifrada al tipo de plantilla de OVF. OVF Tool no admite máquinas virtuales cifradas. Puede crear plantillas de máquina virtual cifradas mediante el tipo de plantilla de máquina virtual. Consulte el documento Administrar máquinas virtuales de vSphere.
- El software para realizar copias de seguridad de discos virtuales cifrados debe utilizar VMware vSphere Storage API - Data Protection (VADP) para realizar copias de seguridad de los discos en el modo agregado en caliente o en el modo NBD con SSL habilitado. Sin embargo, no se admiten todas las soluciones de copia de seguridad que utilizan VADP para la copia de seguridad del disco virtual. Consulte con su proveedor de copias de seguridad para obtener más información.
- Las soluciones de modo de transporte SAN de VADP no son compatibles con la copia de seguridad de discos virtuales cifrados.
- Las soluciones de agregado en caliente de VADP son compatibles con los discos virtuales cifrados. El software de copia de seguridad debe admitir el cifrado de la máquina virtual proxy que se utiliza como parte del flujo de trabajo de copia de seguridad de agregado en caliente. El proveedor debe poseer el privilegio .
- Las soluciones de copia de seguridad que utilizan los modos de transporte NBD-SSL son compatibles para realizar copias de seguridad de discos virtuales cifrados. La aplicación del proveedor debe poseer el privilegio .
- No se pueden enviar los resultados de una máquina virtual cifrada a un puerto serie ni a un puerto paralelo. Aunque parezca que la configuración se realiza correctamente, los resultados se envían a un archivo.
- El cifrado de máquinas virtuales de vSphere no es compatible con VMware Cloud on AWS. Consulte la documentación Administrar VMware Cloud en el centro de datos de AWS.