vSphere vMotion siempre utiliza cifrado para migrar máquinas virtuales cifradas. Para las máquinas virtuales sin cifrar, se puede seleccionar una de las opciones de vSphere vMotion cifrado.

vSphere vMotion cifrado garantiza la confidencialidad, la integridad y la autenticidad de los datos que se transfieren con vSphere vMotion. vSphere admite vMotion cifrado de máquinas virtuales sin cifrar y cifradas en varias instancias de vCenter Server.

Elementos cifrados

En los discos cifrados, los datos se transmiten cifrados en todos los casos. En los discos sin cifrar, se aplica lo siguiente:
  • Si los datos de disco se transfieren dentro de un host (es decir, sin cambiar el host, cambiando solo el almacén de datos), la transferencia no estará cifrada.
  • Si los datos de disco se transfieren entre hosts y se utiliza vMotion cifrado, la transferencia estará cifrada. Si no se utiliza vMotion cifrado, la transferencia no estará cifrada.

En las máquinas virtuales cifradas, siempre se utiliza vSphere vMotion cifrado para la migración con vSphere vMotion. No se puede desactivar vSphere vMotion cifrado en las máquinas virtuales cifradas.

Estados de vSphere vMotion cifrado

En las máquinas virtuales sin cifrar, se puede establecer vSphere vMotion cifrado en uno de los siguientes estados. El valor predeterminado es Oportunista.
Deshabilitado
No se utiliza vSphere vMotion cifrado.
Oportunista
Se utiliza vSphere vMotion cifrado si los hosts de origen y destino lo admiten. Solo ESXi 6.5 y las versiones posteriores utilizan vSphere vMotion cifrado.
Obligatorio
Solo se permite vSphere vMotion cifrado. Si el host de origen o de destino no admite vSphere vMotion cifrado, no se permite la migración con vSphere vMotion.

Cuando se cifra una máquina virtual, la máquina virtual conserva un registro de la configuración actual de vSphere vMotion cifrado. Si posteriormente se desactiva el cifrado para la máquina virtual, la configuración de vMotion cifrado sigue siendo Obligatorio hasta que se modifica de forma explícita la configuración. Es posible modificar la configuración mediante la opción Editar configuración.

Consulte la documentación de Administrar vCenter Server y hosts para obtener información sobre la forma de activar y desactivar vSphere vMotion cifrado en máquinas virtuales sin cifrar.

Nota: Actualmente, hay que utilizar las API de vSphere para migrar o clonar máquinas virtuales cifradas entre instancias de vCenter Server. Consulte la Guía de programación de vSphere Web Services SDK y Referencia de vSphere Web Services API.

Migrar o clonar máquinas virtuales cifradas en varias instancias de vCenter Server

vSphere vMotion admite la migración y la clonación de máquinas virtuales cifradas en varias instancias de vCenter Server.

Al migrar o clonar máquinas virtuales cifradas en varias instancias de vCenter Server, deben configurarse las instancias de vCenter Server de origen y destino para compartir el proveedor de claves que se usó para cifrar la máquina virtual. Además, el nombre del proveedor de claves debe ser el mismo en las instancias de vCenter Server de origen y destino y tener las siguientes características.

  • Proveedor de claves estándar: el mismo servidor de claves (o servidores de claves) debe estar en el proveedor de claves.
  • Proveedor de claves de confianza: el mismo vSphere Trust Authority servicio debe estar configurado en el host de destino.
  • Proveedor de claves nativo de vSphere: debe tener el mismo KDK.
    Nota: No se puede clonar ni migrar una máquina virtual cifrada mediante vSphere Native Key Provider a un host independiente, independientemente de que el host de origen resida en un clúster.

La instancia de vCenter Server de destino garantiza que el host ESXi de destino tenga configurado el modo de cifrado, lo que garantiza que el host esté "seguro" desde el punto de vista de cifrado.

Se requieren los siguientes privilegios al utilizar vSphere vMotion para migrar o clonar una máquina virtual cifrada en varias instancias de vCenter Server.

  • Migrar: Operaciones criptográficas.Migrar en la máquina virtual
  • Clonar: Operaciones criptográficas.Clonar en la máquina virtual

Asimismo, la instancia de vCenter Server de destino debe tener el privilegio Operaciones criptográficas.Cifrar nuevo. Si el host ESXi de destino no está en modo "seguro", el privilegio Operaciones criptográficas.Registrar host también debe estar en la instancia de vCenter Server de destino.

Algunas tareas no se permiten al migrar máquinas virtuales (sin cifrar o cifradas), ya sea en el mismo vCenter Server o en instancias de vCenter Server.

  • No se puede cambiar la directiva de almacenamiento de máquina virtual.
  • No se puede realizar un cambio de clave.
Nota: Puede cambiar la directiva de almacenamiento de máquina virtual al clonar máquinas virtuales.

Requisitos mínimos para migrar o clonar máquinas virtuales cifradas en varias instancias de vCenter Server

Los requisitos mínimos de versión para la migración o la clonación de máquinas virtuales cifradas de proveedores de claves estándar en instancias de vCenter Server mediante vSphere vMotion son los siguientes:

  • Las instancias de vCenter Server de origen y destino deben ser de la versión 7.0 o posterior.
  • Los hosts de ESXi de origen y destino deben ser de la versión 6.7 o posterior.

Los requisitos mínimos de versión para la migración o la clonación de máquinas virtuales cifradas de proveedores de claves de confianza en instancias de vCenter Server mediante vSphere vMotion son los siguientes:

  • Debe configurarse el servicio de vSphere Trust Authority para el host de destino y se debe atestar el host de destino.
  • El cifrado no puede cambiar en la migración. Por ejemplo, un disco sin cifrar no se puede cifrar mientras la máquina virtual está migrando a un almacenamiento nuevo.
  • Puede migrar una máquina virtual cifrada estándar a un host de confianza. El nombre del proveedor de claves debe ser el mismo en las instancias de vCenter Server de origen y destino.
  • No se puede migrar una máquina virtual cifrada de vSphere Trust Authority a un host que no es de confianza.

Proveedor de claves de confianza vMotion y Cross-vCenter Server vMotion

El proveedor de claves de confianza es totalmente compatible con vMotion ESXi hosts.

Se admite vMotion entre instancias de vCenter Server, pero con las siguientes restricciones.

  1. Se debe configurar el servicio de confianza requerido en el host de destino y se debe atestar el host de destino.
  2. El cifrado no puede cambiar en la migración. Por ejemplo, un disco no se puede cifrar mientras la máquina virtual se migra al almacenamiento nuevo.

Al realizar operaciones de vMotion entre instancias de vCenter Server, vCenter Server comprueba que el proveedor de claves de confianza está disponible en el host de destino y que el host tiene acceso a él.

Proveedor de claves nativo de vSphere vMotion y Cross-vCenter Server vMotion

Proveedor de claves nativo de vSphere es compatible con vMotion y vMotion cifrado en ESXi hosts. Cross-vCenter Server vMotion es compatible si el proveedor de claves nativo de vSphere está configurado en el host de destino.