Prenez en compte les mises en garde concernant le chiffrement des machines virtuelles pour éviter l'apparition de problèmes.

Pour en savoir plus sur les dispositifs et les fonctionnalités qui ne peuvent pas être utilisés avec le chiffrement des machines virtuelles, reportez-vous à Interopérabilité du chiffrement des machines virtuelles.

Limitations

Prenez en compte les mises en garde suivantes lorsque vous planifiez votre stratégie de chiffrement des machines virtuelles.

  • Lorsque vous clonez une machine virtuelle chiffrée ou effectuez une opération Storage vMotion, vous pouvez tenter de modifier le format de disque. Ces conversions ne sont pas toujours concluantes. Par exemple, si vous clonez une machine virtuelle et tentez de remplacer le format de disque en remplaçant le format statique mis à zéro en différé par le format dynamique, le disque de la machine virtuelle conserve le format statique mis à zéro en différé.

  • Vous ne pouvez pas chiffrer une machine virtuelle et ses disques à l'aide du menu Modifier les paramètres. Vous devez modifier à la place la stratégie de stockage. Il est possible d'effectuer d'autres tâches de chiffrement comme chiffrer un disque non chiffré d'une machine virtuelle chiffrée, à l'aide du menu Modifier les paramètres ou en modifiant la stratégie de stockage. Reportez-vous à Chiffrer une machine ou un disque virtuel existant.

  • Si vous détachez un disque d'une machine virtuelle, les informations sur la stratégie de stockage du disque virtuel ne sont pas conservées.

    • Si le disque virtuel est chiffré, vous devez explicitement définir la stratégie de stockage sur la stratégie de chiffrement des machines virtuelles ou sur une stratégie de stockage qui englobe le chiffrement.

    • Si le disque virtuel n'est pas chiffré, vous pouvez modifier la stratégie de stockage lorsque vous ajoutez le disque à la machine virtuelle.

    Reportez-vous à Chiffrement des disques virtuels pour plus de détails.

  • Déchiffrez les vidages de mémoire avant de déplacer une machine virtuelle vers un autre cluster.

    vCenter Server ne stocke pas les clés KMS, mais assure uniquement le suivi des ID de clé. Par conséquent, vCenter Server ne stocke pas la clé de l'hôte ESXi de manière persistante.

    Dans certaines circonstances, par exemple lors du déplacement de l'hôte ESXi vers un autre cluster et du redémarrage de l'hôte, vCenter Server attribue une nouvelle clé d'hôte à l'hôte. Il est impossible de déchiffrer des vidages de mémoire existants avec la nouvelle clé d'hôte.

  • L'exportation OVF n'est pas prise en charge pour une machine virtuelle chiffrée.

État de verrouillage des machines virtuelles

Si la clé de la machine virtuelle ou une ou plusieurs clés de disque virtuel sont manquantes, la machine virtuelle passe à l'état verrouillé. Si la machine est à l'état verrouillé, vous ne pouvez pas effectuer ses opérations.

  • Si vous chiffrez une machine virtuelle et ses disques à l'aide de vSphere Web Client, la même clé est utilisée pour les deux.

  • Lorsque vous effectuez le chiffrement à l'aide de l'API, vous pouvez utiliser différentes clés de chiffrement pour la machine virtuelle et ses disques. Dans ce cas, si vous tentez de mettre sous tension une machine virtuelle et si une des clés de disque est manquante, l'opération de mise sous tension échoue. Pour remédier à cela, retirez le disque virtuel.

Pour obtenir des suggestions de dépannage, reportez-vous à Résoudre les problèmes de clés manquantes.

Serveur de gestion des clés (KMS)

Vous ne pouvez ajouter un serveur de gestion des clés à un système vCenter Server qu'une seule fois. Vous ne pouvez pas ajouter ce serveur deux fois, par exemple, dans deux différentes instances de cluster KMS.