Lorsque vous créez une machine virtuelle chiffrée à partir de vSphere Client, vous pouvez décider des disques à exclure du chiffrement. Vous pouvez, par la suite, ajouter des disques et définir leur stratégies de chiffrement. Vous ne pouvez pas ajouter un disque chiffré à une machine virtuelle qui n'est pas chiffrée, et vous ne pouvez pas chiffrer un disque si la machine virtuelle n'est pas chiffrée.
- Définir la stratégie de stockage d'Accueil VM sur une stratégie de chiffrement chiffre uniquement la machine virtuelle en elle-même.
- Définir la stratégie de stockage d'Accueil VM et de tous les disques sur une stratégie de chiffrement chiffre l'ensemble des composants.
Examinez les cas d'utilisation suivants.
Cas d'utilisation | Détails |
---|---|
Créer une machine virtuelle chiffrée | Si vous ajoutez des disques pendant que vous créez une machine virtuelle chiffrée, les disques sont chiffrés par défaut. Vous pouvez modifier la stratégie de manière afin de ne pas chiffrer un ou plusieurs disques. Après la création de la machine virtuelle, vous pouvez modifier explicitement la stratégie de stockage de chaque disque. Reportez-vous à la section Modifier la stratégie de chiffrement des disques virtuels. |
Chiffrer une machine virtuelle | Pour chiffrer une machine virtuelle existante, vous modifiez sa stratégie de stockage. Vous pouvez modifier la stratégie de stockage pour la machine virtuelle et pour tous les disques virtuels. Pour chiffrer uniquement la machine virtuelle, vous pouvez spécifier une stratégie de chiffrement d'Accueil VM et sélectionnez une stratégie de stockage différente, comme Valeur par défaut de la banque de données, pour chaque disque virtuel. Reportez-vous à la section Créer une machine virtuelle chiffrée. |
Ajoutez un disque non chiffré existant à une machine virtuelle chiffrée (stratégie de stockage de chiffrement). | Échoue avec une erreur. Vous devez ajouter le disque avec la stratégie de stockage par défaut, mais vous pourrez modifier la stratégie de stockage ultérieurement. Reportez-vous à la section Modifier la stratégie de chiffrement des disques virtuels. |
Ajouter un disque non chiffré existant à une machine virtuelle chiffrée avec une stratégie de stockage qui n'inclut pas le chiffrement (valeur par défaut de la banque de données, par exemple) | Le disque utilise la stratégie de stockage par défaut. Vous pouvez modifier explicitement la stratégie de stockage après avoir ajouté le disque si vous souhaitez un disque chiffré. Reportez-vous à la section Modifier la stratégie de chiffrement des disques virtuels. |
Ajouter un disque chiffré à une machine virtuelle chiffrée (stratégie de stockage d'Accueil VM : Chiffrement) | Lorsque vous ajoutez le disque, il reste chiffré. vSphere Client affiche la taille et d'autres attributs, y compris l'état de chiffrement. |
Ajouter un disque chiffré existant à une machine virtuelle non chiffrée. | Ce cas d'utilisation n'est pas pris en charge. |
Enregistrer une machine virtuelle chiffrée. | Si vous supprimez une machine virtuelle chiffrée de vCenter Server mais que vous ne la supprimez pas du disque, vous pouvez la replacer dans l'inventaire vCenter Server en enregistrant le fichier de configuration de machine virtuelle (.vmx) de la machine virtuelle. Pour enregistrer la machine virtuelle chiffrée, l'utilisateur doit disposer du privilège . Si la machine virtuelle a été chiffrée à l'aide d'un fournisseur de clés standard, lorsque la machine virtuelle chiffrée est enregistrée, vCenter Server transmet les clés requises à l'hôte ESXi. Si l'utilisateur qui enregistre la machine virtuelle ne dispose pas du privilège , vCenter Server verrouille la machine virtuelle lors de l'enregistrement et celle-ci n'est pas utilisable tant qu'elle n'est pas déverrouillée. Si la machine virtuelle a été chiffrée à l'aide d'un fournisseur de clés approuvé ou de vSphere Native Key Provider, lorsque la machine virtuelle chiffrée est enregistrée, vCenter Server ne transmet plus les clés à l'hôte ESXi. Au lieu de cela, les clés sont extraites de l'hôte lors de l'enregistrement de la machine virtuelle. Si l'utilisateur qui enregistre la machine virtuelle ne dispose pas du privilège , vCenter Server n'autorise pas l'opération. |