vSphere vMotion cifrado garantiza la confidencialidad, la integridad y la autenticidad de los datos que se transfieren con vSphere vMotion. vSphere admite vMotion cifrado de máquinas virtuales sin cifrar y cifradas en varias instancias de vCenter Server.
vSphere vMotion siempre utiliza cifrado para migrar máquinas virtuales cifradas. Para las máquinas virtuales sin cifrar, se puede seleccionar una de las opciones de vSphere vMotion cifrado.
Qué se cifra en vSphere vMotion cifrado
- Si los datos de disco se transfieren dentro de un host (es decir, sin cambiar el host, cambiando solo el almacén de datos), la transferencia no estará cifrada.
- Si los datos de disco se transfieren entre hosts y se utiliza vMotion cifrado, la transferencia estará cifrada. Si no se utiliza vMotion cifrado, la transferencia no estará cifrada.
En las máquinas virtuales cifradas, siempre se utiliza vSphere vMotion cifrado para la migración con vSphere vMotion. No se puede desactivar vSphere vMotion cifrado en las máquinas virtuales cifradas.
Estados de vSphere vMotion cifrados para máquinas virtuales sin cifrar
- Deshabilitado
- No se utiliza vSphere vMotion cifrado.
- Oportunista
- Se utiliza vSphere vMotion cifrado si los hosts de origen y destino lo admiten. Solo los hosts ESXi de la versión 6.5 y posterior admiten vSphere vMotion cifrado.
- Obligatorio
- Solo se permite vSphere vMotion cifrado. Si el host de origen o de destino no admite vSphere vMotion cifrado, no se permite la migración con vSphere vMotion.
Cuando se cifra una máquina virtual, la máquina virtual conserva un registro de la configuración actual de vSphere vMotion cifrado. Si posteriormente se desactiva el cifrado para la máquina virtual, la configuración de vMotion cifrado sigue siendo Obligatorio hasta que se modifica de forma explícita la configuración. Es posible modificar la configuración mediante la opción Editar configuración.
Consulte la documentación de Administrar vCenter Server y hosts para obtener información sobre la forma de activar y desactivar vSphere vMotion cifrado en máquinas virtuales sin cifrar.
Migrar o clonar máquinas virtuales cifradas en varias instancias de vCenter Server
vSphere vMotion admite la migración y la clonación de máquinas virtuales cifradas en varias instancias de vCenter Server.
Al migrar o clonar máquinas virtuales cifradas en varias instancias de vCenter Server, deben configurarse las instancias de vCenter Server de origen y destino para compartir el proveedor de claves que se usó para cifrar la máquina virtual. Además, el nombre del proveedor de claves debe ser el mismo en las instancias de vCenter Server de origen y destino y tener las siguientes características.
- Proveedor de claves estándar: el mismo servidor de claves (o servidores de claves) debe estar en el proveedor de claves.
- Proveedor de claves de confianza: el mismo vSphere Trust Authority servicio debe estar configurado en el host de destino.
- vSphere Native Key Provider: debe tener el mismo KDK.
Nota: No se puede clonar ni migrar una máquina virtual cifrada mediante vSphere Native Key Provider a un host independiente, independientemente de que el host de origen resida en un clúster.
La instancia de vCenter Server de destino garantiza que el host ESXi de destino tenga configurado el modo de cifrado, lo que garantiza que el host esté "seguro" desde el punto de vista de cifrado.
Se requieren los siguientes privilegios al utilizar vSphere vMotion para migrar o clonar una máquina virtual cifrada en varias instancias de vCenter Server.
- Migrar: en la máquina virtual
- Clonar: en la máquina virtual
Asimismo, la instancia de vCenter Server de destino debe tener el privilegio . Si el host ESXi de destino no está en modo "seguro", el privilegio también debe estar en la instancia de vCenter Server de destino.
Algunas tareas no se permiten al migrar máquinas virtuales (sin cifrar o cifradas), ya sea en el mismo vCenter Server o en instancias de vCenter Server.
- No se puede cambiar la directiva de almacenamiento de máquina virtual.
- No se puede realizar un cambio de clave.
Requisitos mínimos para migrar o clonar máquinas virtuales cifradas en varias instancias de vCenter Server
Los requisitos mínimos de versión para la migración o la clonación de máquinas virtuales cifradas de proveedores de claves estándar en instancias de vCenter Server mediante vSphere vMotion son los siguientes:
- Las instancias de vCenter Server de origen y destino deben ser de la versión 7.0 o posterior.
- Los hosts de ESXi de origen y destino deben ser de la versión 6.7 o posterior.
Los requisitos mínimos de versión para la migración o la clonación de máquinas virtuales cifradas de proveedores de claves de confianza en instancias de vCenter Server mediante vSphere vMotion son los siguientes:
- Debe configurarse el servicio de vSphere Trust Authority para el host de destino y se debe atestar el host de destino.
- El cifrado no puede cambiar en la migración. Por ejemplo, un disco sin cifrar no se puede cifrar mientras la máquina virtual está migrando a un almacenamiento nuevo.
- Puede migrar una máquina virtual cifrada estándar a un host de confianza. El nombre del proveedor de claves debe ser el mismo en las instancias de vCenter Server de origen y destino.
- No se puede migrar una máquina virtual cifrada de vSphere Trust Authority a un host que no es de confianza.
Proveedor de claves de confianza vMotion y Cross-vCenter Server vMotion
El proveedor de claves de confianza es totalmente compatible con vMotion ESXi hosts.
Se admite vMotion entre instancias de vCenter Server, pero con las siguientes restricciones.
- Se debe configurar el servicio de confianza requerido en el host de destino y se debe atestar el host de destino.
- El cifrado no puede cambiar en la migración. Por ejemplo, un disco no se puede cifrar mientras la máquina virtual se migra al almacenamiento nuevo.
Al realizar operaciones de vMotion entre instancias de vCenter Server, vCenter Server comprueba que el proveedor de claves de confianza está disponible en el host de destino y que el host tiene acceso a él.
vSphere Native Key Provider vMotion y Cross-vCenter Server vMotion
vSphere Native Key Provider es compatible con vMotion y vMotion cifrado en ESXi hosts. Cross-vCenter Server vMotion es compatible si vSphere Native Key Provider está configurado en el host de destino.