Le chiffrement des machines virtuelles vSphere comporte des limitations au niveau de la compatibilité avec certains périphériques et fonctions dans vSphere 6.5 et versions ultérieures.
Les limitations et remarques suivantes se rapportent à l'utilisation du chiffrement des machines virtuelles vSphere. Pour obtenir des informations similaires sur l'utilisation du chiffrement vSAN, consultez la documentation Administration de VMware vSAN.
Limitations de certaines tâches de chiffrement
Certaines restrictions s'appliquent lors de l'exécution de certaines tâches sur une machine virtuelle chiffrée.
- Vous ne pouvez pas effectuer la plupart des opérations de chiffrement sur une machine virtuelle sous tension. La machine virtuelle doit être hors tension. Vous pouvez cloner une machine virtuelle chiffrée et vous pouvez procéder à un rechiffrement superficiel tandis que la machine virtuelle est sous tension.
- Vous ne pouvez pas effectuer un rechiffrement en profondeur sur une machine virtuelle incluant des snapshots. Vous pouvez effectuer un rechiffrement superficiel sur une machine virtuelle avec des snapshots.
Périphériques vTPM (Virtual Trusted Platform Module) et chiffrement de machines virtuelles vSphere
Un vTPM (Virtual Trusted Platform Module) est une représentation logicielle d'une puce TPM 2.0 (Trusted Platform Module) physique. Vous pouvez ajouter un vTPM aussi bien à une nouvelle machine virtuelle qu'à une machine virtuelle existante. Pour ajouter un vTPM à une machine virtuelle, vous devez configurer un serveur de gestion de clés (KMS) dans votre environnement vSphere. Lorsque vous configurez un vTPM, les fichiers « de base » de la machine virtuelle sont chiffrés (échange de mémoire, fichiers NVRAM, etc.). Les fichiers de disque, ou fichiers VMDK, ne sont pas automatiquement chiffrés. Vous pouvez choisir d'ajouter explicitement le chiffrement pour les disques de machine virtuelle.
Chiffrement des machines virtuelles vSphere, état suspendu et snapshots
À partir de vSphere 6.7, vous pouvez reprendre depuis un état suspendu d'une machine virtuelle chiffrée ou restaurer un snapshot de mémoire d'une machine chiffrée. Vous pouvez migrer une machine virtuelle chiffrée avec le snapshot de mémoire et l'état suspendu entre des hôtes ESXi.
Chiffrement de machines virtuelles vSphere et IPv6
Vous pouvez utiliser le chiffrement de machines virtuelles vSphere avec le mode IPv6 pur ou en mode mixte. Vous pouvez configurer le KMS avec des adresses IPv6. Vous pouvez configurer l'instance de vCenter Server et le serveur KMS avec uniquement des adresses IPv6.
Limitations du clonage dans le chiffrement des machines virtuelles vSphere
- Le clonage est pris en charge sous certaines conditions.
-
Le clone intégral est pris en charge. Le clone hérite de l'état de chiffrement parent, y compris des clés. Vous pouvez chiffrer le clone intégral, rechiffrer le clone intégral de façon qu'il utilise de nouvelles clés ou déchiffrer le clone intégral.
Les clones liés sont pris en charge et le clone hérite de l'état de chiffrement parent, y compris les clés. Vous ne pouvez pas déchiffrer le clone lié ou rechiffrer un clone lié avec différentes clés.
Note : Vérifiez que les autres applications prennent en charge les clones liés. Par exemple, VMware Horizon ® 7 prend en charge à la fois les clones complets et les clones instantanés, mais pas les clones liés.
-
- Les clones instantanés sont pris en charge, mais vous ne pouvez pas modifier les clés de chiffrement sur ceux-ci.
Configurations de disque non prises en charge avec le chiffrement des machines virtuelles vSphere
Certains types de configurations de disque de machine virtuelle ne sont pas pris en charge avec le chiffrement des machines virtuelles vSphere.
- Disque RDM (mappage de périphériques bruts). Toutefois, vSphere Virtual Volumes (vVols) est pris en charge.
- Disques en mode multi-écriture ou disques partagés (MSCS, WSFC ou Oracle RAC). Les fichiers « de base » de machine virtuelle chiffrés sont pris en charge pour les disques multi-écriture. Les disques virtuels chiffrés ne sont pas pris en charge pour les disques multi-écriture. Si vous tentez de sélectionner l'option Multi-écriture sur la page Modifier les paramètres de la machine virtuelle incluant des disques virtuels chiffrés, le bouton OK est désactivé.
Limitations diverses du chiffrement des machines virtuelles vSphere.
D'autres fonctionnalités ne fonctionnent pas avec le chiffrement des machines virtuelles vSphere, notamment :
- vSphere Fault Tolerance
- vSphere ESXi Dump Collector
- Migration avec vMotion d'une machine virtuelle chiffrée vers une instance de vCenter Server différente. La migration chiffrée avec vMotion d'une machine virtuelle non chiffrée est prise en charge.
- Bibliothèque de contenu
- Les bibliothèques de contenu prennent en charge deux types de modèles, à savoir le type de modèle OVF et le type de modèle de machine virtuelle. Vous ne pouvez pas exporter une machine virtuelle chiffrée vers le type de modèle OVF. L'outil OVF ne prend pas en charge les machines virtuelles chiffrées. Vous pouvez créer des modèles de machine virtuelle chiffrés à l'aide du type de modèle de machine virtuelle. Reportez-vous à la documentation Administration d'une machine virtuelle vSphere.
- Le logiciel de sauvegarde des disques virtuels chiffrés doit utiliser la protection (VMware vSphere Storage API - Data Protection) pour sauvegarder les disques en mode d'ajout à chaud ou en mode NBD avec SSL activé. Cependant, toutes les solutions de sauvegarde qui utilisent VADP pour la sauvegarde de disque virtuel ne sont pas prises en charge. Pour plus de détails, consultez votre fournisseur de sauvegarde.
- Les solutions de mode de transport VADP SAN ne sont pas prises en charge pour la sauvegarde de disques virtuels chiffrés.
- Les solutions VADP Hot-Add sont prises en charge pour les disques virtuels chiffrés. Le logiciel de sauvegarde doit prendre en charge le chiffrement de la machine virtuelle proxy utilisée dans le cadre du workflow de sauvegarde d'ajout à chaud. Le fournisseur doit disposer du privilège .
- Les solutions de sauvegarde utilisant les modes de transport NBD-SSL sont prises en charge pour la sauvegarde de disques virtuels chiffrés. L'application du fournisseur doit disposer du privilège .
- Vous ne pouvez pas envoyer de sortie d'une machine virtuelle chiffrée vers un port en série ou un port parallèle. Même si la configuration semble concluante, la sortie est envoyée vers un fichier.
- Le chiffrement de la machine virtuelle vSphere n'est pas pris en charge dans VMware Cloud on AWS. Consultez la documentation Gestion du centre de données VMware Cloud on AWS.