El cifrado de máquinas virtuales de vSphere tiene algunas limitaciones con respecto a los dispositivos y las funciones con los que puede interoperar.
Las siguientes limitaciones y comentarios hacen referencia al uso del cifrado de máquinas virtuales de vSphere. Para obtener información similar sobre cómo usar el cifrado de vSAN, consulte la documentación de Administrar VMware vSAN.
Limitaciones de ciertas tareas de cifrado
Se aplican algunas restricciones al realizar ciertas tareas en una máquina virtual cifrada.
- No puede realizar la mayoría de operaciones de cifrado en una máquina virtual encendida. La máquina virtual debe estar apagada. Se puede clonar una máquina virtual cifrada y se puede realizar un cifrado superficial mientras la máquina virtual está encendida.
- No se puede realizar una repetición de cifrado profundo en una máquina virtual con instantáneas. Puede realizar una repetición de cifrado superficial en una máquina virtual con instantáneas.
Dispositivos del módulo de plataforma de confianza virtual y cifrado de máquinas virtuales de vSphere
Un módulo de plataforma de confianza virtual (virtual Trusted Platform Module, vTPM) es una representación basada en software de un chip de módulo de plataforma de confianza 2.0 físico. Se puede agregar un vTPM a una máquina virtual nueva o existente. Para agregar un vTPM a una máquina virtual, debe configurar un proveedor de claves en el entorno de vSphere. Cuando se configura un vTPM, se cifran los archivos de “inicio” de la máquina virtual (intercambio de memoria, archivos de NVRAM, etc.). Los archivos de disco, o archivos VMDK, no se cifran automáticamente. Puede optar por agregar el cifrado de forma explícita para los discos de la máquina virtual.
Cifrado y estado suspendido de máquinas virtuales de vSphere e instantáneas
Puede reanudar la operación desde una máquina virtual cifrada en estado de suspensión o revertir a una instantánea de memoria de una máquina cifrada. Puede migrar una máquina virtual cifrada con una instantánea de memoria y el estado de suspensión entre hosts ESXi.
Cifrado de máquinas virtuales de vSphere e IPv6
Puede utilizar el cifrado de máquinas virtuales de vSphere con el modo IPv6 puro o en modo mixto. Puede configurar el servidor de claves con direcciones IPv6. Puede configurar tanto vCenter Server como el servidor de claves solo con direcciones IPv6.
Limitaciones sobre la clonación en el cifrado de máquinas virtuales de vSphere
- Para un proveedor de claves estándar, se admite la clonación condicionalmente.
-
Se admite la clonación completa. El clon hereda el estado de cifrado del elemento principal, incluidas las claves. Puede cifrar el clon completo o volver a cifrarlo para usar claves nuevas, o descifrar el clon completo.
Se admiten los clones vinculados y el clon hereda el estado de cifrado del elemento principal, incluidas las claves. No se puede descifrar el clon vinculado ni volver a cifrarlo con claves distintas.
Nota: Compruebe que otras aplicaciones admitan clones vinculados. Por ejemplo, VMware Horizon ® 7 admite clones completos e instantáneos, pero no clones vinculados.
-
- Para un proveedor de claves de confianza o un vSphere Native Key Provider, se admite la clonación, pero las claves de cifrado no se pueden cambiar en el clon. Este comportamiento contrasta con el cifrado estándar en el que se pueden cambiar las claves al crear un clon. vSphere Trust Authority o vSphere Native Key Provider no admiten las siguientes operaciones durante la clonación de una máquina virtual:
- Clonar desde una máquina virtual no cifrada en una máquina virtual cifrada
- Clonar desde una máquina virtual cifrada y cambiar las claves de cifrado
- Clonar de una máquina virtual cifrada a una máquina virtual sin cifrar
- La opción de clon instantáneo es compatible con todos los tipos de proveedores de claves, pero no se pueden cambiar las claves de cifrado en el clon.
Configuraciones de disco no compatibles con el cifrado de máquina virtual de vSphere
No se admiten ciertos tipos de configuraciones de disco de máquina virtual con el cifrado de máquinas virtuales de vSphere.
- Asignación de dispositivos sin formato (Raw Device Mapping, RDM). Sin embargo, se admiten vSphere Virtual Volumes (vVols).
- Multiescritura o discos compartidos (MSCS, WSFC u Oracle RAC). Los archivos de "inicio" de máquina virtual cifrados son compatibles con los discos de multiescritura. Los discos virtuales cifrados no son compatibles con los discos de multiescritura. Si intenta seleccionar Multiescritura en la página Editar configuración de la máquina virtual con discos virtuales cifrados, se desactivará el botón Aceptar.
Varias limitaciones en el cifrado de máquinas virtuales de vSphere
Entre las funciones que no funcionan con el cifrado de máquinas virtuales de vSphere se encuentran las siguientes:
- vSphere ESXi Dump Collector
- Biblioteca de contenido
- Las bibliotecas de contenido admiten dos tipos de plantillas, el tipo de plantilla de OVF y el tipo de plantilla de máquina virtual. No puede exportar una máquina virtual cifrada al tipo de plantilla de OVF. OVF Tool no admite máquinas virtuales cifradas. Puede crear plantillas de máquina virtual cifradas mediante el tipo de plantilla de máquina virtual. Consulte el documento Administrar máquinas virtuales de vSphere.
- El software para realizar copias de seguridad de discos virtuales cifrados debe utilizar VMware vSphere Storage API - Data Protection (VADP) para realizar copias de seguridad de los discos en el modo agregado en caliente o en el modo NBD con SSL habilitado. Sin embargo, no se admiten todas las soluciones de copia de seguridad que utilizan VADP para la copia de seguridad del disco virtual. Consulte con su proveedor de copias de seguridad para obtener más información.
- Las soluciones de modo de transporte SAN de VADP no son compatibles con la copia de seguridad de discos virtuales cifrados.
- Las soluciones de agregado en caliente de VADP son compatibles con los discos virtuales cifrados. El software de copia de seguridad debe admitir el cifrado de la máquina virtual proxy que se utiliza como parte del flujo de trabajo de copia de seguridad de agregado en caliente. El proveedor debe poseer el privilegio .
- Las soluciones de copia de seguridad que utilizan los modos de transporte NBD-SSL son compatibles para realizar copias de seguridad de discos virtuales cifrados. La aplicación del proveedor debe poseer el privilegio .
- No se pueden enviar los resultados de una máquina virtual cifrada a un puerto serie ni a un puerto paralelo. Aunque parezca que la configuración se realiza correctamente, los resultados se envían a un archivo.
- El cifrado de máquinas virtuales de vSphere no es compatible con VMware Cloud on AWS. Consulte la documentación Administrar el centro de datos de VMware Cloud on AWS.