El cifrado de máquinas virtuales de vSphere tiene algunas limitaciones con respecto a los dispositivos y las funciones con los que puede interoperar.
Las siguientes limitaciones y comentarios hacen referencia al uso del cifrado de máquinas virtuales de vSphere. Para obtener información similar sobre cómo usar el cifrado de vSAN, consulte la documentación de Administrar VMware vSAN.
Limitaciones de ciertas tareas de cifrado
Se aplican algunas restricciones al realizar ciertas tareas en una máquina virtual cifrada.
- Para la mayoría de las operaciones cifradas de máquinas virtuales, debe apagar la máquina virtual. Se puede clonar una máquina virtual cifrada y se puede realizar un cifrado superficial mientras la máquina virtual está encendida.
Nota: Las máquinas virtuales configuradas con controladoras IDE deben apagarse para realizar una operación de regeneración de claves superficial.
- No se puede realizar una repetición de cifrado profundo en una máquina virtual con instantáneas. Puede realizar una repetición de cifrado superficial en una máquina virtual con instantáneas.
Dispositivos del módulo de plataforma de confianza virtual y cifrado de máquinas virtuales de vSphere
Un módulo de plataforma de confianza virtual (virtual Trusted Platform Module, vTPM) es una representación basada en software de un chip de módulo de plataforma de confianza 2.0 físico. Se puede agregar un vTPM a una máquina virtual nueva o existente. Para agregar un vTPM a una máquina virtual, debe configurar un proveedor de claves en el entorno de vSphere. Cuando se configura un vTPM, se cifran los archivos de “inicio” de la máquina virtual (intercambio de memoria, archivos de NVRAM, etc.). Los archivos de disco, o archivos VMDK, no se cifran automáticamente. Puede optar por agregar el cifrado de forma explícita para los discos de la máquina virtual.
En vSphere 8.0 y versiones posteriores, al clonar una máquina virtual que incluye un vTPM, puede optar por comenzar con un nuevo vTPM vacío, que obtiene sus propios secretos e identidades.
Cifrado y estado suspendido de máquinas virtuales de vSphere e instantáneas
Puede reanudar la operación desde una máquina virtual cifrada en estado de suspensión o revertir a una instantánea de memoria de una máquina cifrada. Puede migrar una máquina virtual cifrada con una instantánea de memoria y el estado de suspensión entre hosts ESXi.
Cifrado de máquinas virtuales de vSphere e IPv6
Puede utilizar el cifrado de máquinas virtuales de vSphere con el modo IPv6 puro o en modo mixto. Puede configurar el servidor de claves con direcciones IPv6. Puede configurar tanto vCenter Server como el servidor de claves solo con direcciones IPv6.
Limitaciones sobre la clonación en el cifrado de máquinas virtuales de vSphere
-
Se admite la clonación completa. El clon hereda el estado de cifrado del elemento principal, incluidas las claves. Puede cifrar el clon completo o volver a cifrarlo para usar claves nuevas, o descifrar el clon completo.
Se admiten los clones vinculados y el clon hereda el estado de cifrado del elemento principal, incluidas las claves. No se puede descifrar el clon vinculado ni volver a cifrarlo con claves distintas.
Nota: Compruebe que otras aplicaciones admitan clones vinculados. Por ejemplo, VMware Horizon ® 7 admite clones completos e instantáneos, pero no clones vinculados. - La opción de clon instantáneo es compatible con todos los tipos de proveedores de claves, pero no se pueden cambiar las claves de cifrado en el clon.
- Puede crear una máquina virtual de clon vinculado a partir de una máquina virtual cifrada. La máquina virtual de clon vinculado contiene las mismas claves. Puede regenerar claves en los archivos "de inicio" de máquina virtual cifrados de un clon vinculado, pero no puede regenerar claves para los discos.
Limitaciones con vSphere Native Key Provider
Algunas operaciones no son compatibles con vSphere Native Key Provider.
- No puede usar vSphere Native Key Provider para cifrar máquinas virtuales en un host independiente. El host debe residir en un clúster para usar vSphere Native Key Provider.
- No se puede mover un host que contenga máquinas virtuales cifradas mediante vSphere Native Key Provider a un clúster diferente a menos que el clúster de destino contenga el mismo vSphere Native Key Provider. (Las máquinas virtuales cifradas en el host movido se bloquean cuando las claves de cifrado no están presentes y el clúster de destino no tiene el mismo vSphere Native Key Provider).
- No se puede registrar una máquina virtual cifrada por vSphere Native Key Provider en un host heredado debido a la falta de compatibilidad con vSphere Native Key Provider.
- No se puede registrar una máquina virtual cifrada por vSphere Native Key Provider en un host independiente debido a los requisitos para que el host resida en un clúster.
Configuraciones de disco no compatibles con el cifrado de máquina virtual de vSphere
No se admiten ciertos tipos de configuraciones de disco de máquina virtual con el cifrado de máquinas virtuales de vSphere.
- Asignación de dispositivos sin formato (Raw Device Mapping, RDM). Sin embargo, se admiten vSphere Virtual Volumes (vVols).
- Multiescritura o discos compartidos (MSCS, WSFC u Oracle RAC). Los archivos de "inicio" de máquina virtual cifrados son compatibles con los discos de multiescritura. Los discos virtuales cifrados no son compatibles con los discos de multiescritura. Si intenta seleccionar Multiescritura en la página Editar configuración de la máquina virtual con discos virtuales cifrados, se desactivará el botón Aceptar.
Varias limitaciones en el cifrado de máquinas virtuales de vSphere
Entre las funciones que no funcionan con el cifrado de máquinas virtuales de vSphere se encuentran las siguientes.
- vSphere ESXi Dump Collector
- Biblioteca de contenido
- Las bibliotecas de contenido admiten dos tipos de plantillas, el tipo de plantilla de OVF y el tipo de plantilla de máquina virtual. No puede exportar una máquina virtual cifrada al tipo de plantilla de OVF. OVF Tool no admite máquinas virtuales cifradas. Puede crear plantillas de máquina virtual cifradas mediante el tipo de plantilla de máquina virtual. En vSphere 8.0 y versiones posteriores, el comando ovftool incluye una opción para agregar un marcador de posición de vTPM al archivo de descriptor OVF. Al implementar una máquina virtual desde una plantilla de este tipo, vCenter Server crea un vTPM con secretos únicos en la máquina virtual de destino. Consulte el documento Administrar máquinas virtuales de vSphere.
- El software para realizar copias de seguridad de discos virtuales cifrados debe utilizar VMware vSphere Storage API - Data Protection (VADP) para realizar copias de seguridad de los discos en el modo agregado en caliente o en el modo NBD con SSL habilitado. Sin embargo, no se admiten todas las soluciones de copia de seguridad que utilizan VADP para la copia de seguridad del disco virtual. Consulte con su proveedor de copias de seguridad para obtener más información.
- Las soluciones de modo de transporte SAN de VADP no son compatibles con la copia de seguridad de discos virtuales cifrados.
- Las soluciones de agregado en caliente de VADP son compatibles con los discos virtuales cifrados. El software de copia de seguridad debe admitir el cifrado de la máquina virtual proxy que se utiliza como parte del flujo de trabajo de copia de seguridad de agregado en caliente. El proveedor debe poseer el privilegio .
- Las soluciones de copia de seguridad que utilizan los modos de transporte NBD-SSL son compatibles para realizar copias de seguridad de discos virtuales cifrados. La aplicación del proveedor debe poseer el privilegio .
- No se pueden enviar los resultados de una máquina virtual cifrada a un puerto serie ni a un puerto paralelo. Aunque parezca que la configuración se realiza correctamente, los resultados se envían a un archivo.
- El cifrado de máquinas virtuales de vSphere no es compatible con VMware Cloud on AWS. Consulte la documentación Administrar el centro de datos de VMware Cloud on AWS.