Lors du clonage d'une machine virtuelle chiffrée, le clone est chiffré avec les mêmes clés. Pour modifier les clés du clone, procédez à un rechiffrement du clone au moyen de l'API. Reportez-vous à la section Guide de programmation de vSphere Web Services SDK.

Vous pouvez effectuer les opérations suivantes lors du clonage.

  • Créer une machine virtuelle chiffrée à partir d'une machine virtuelle ou d'un modèle de machine virtuelle non chiffré.
  • Créer une machine virtuelle non chiffrée à partir d'une machine virtuelle ou d'un modèle de machine virtuelle chiffré.
  • Rechiffrer la machine virtuelle de destination avec différentes clés parmi celles de la machine virtuelle source.

Vous pouvez créer un clone instantané de machine virtuelle à partir d'une machine virtuelle chiffrée avec l'inconvénient que le clone instantané partage la même clé avec la machine virtuelle source. Vous ne pouvez pas rechiffrer les clés sur la machine virtuelle source ou le clone instantané de machine virtuelle. Reportez-vous à la section Guide de programmation de vSphere Web Services SDK.

Conditions préalables

  • Établissez une connexion de confiance avec le serveur KMS et sélectionnez un serveur KMS par défaut.
  • Créez une stratégie de stockage de chiffrement ou utilisez l'exemple fourni (Stratégie de chiffrement des machines virtuelles).
  • Privilèges requis :
    • Opérations de chiffrement.Cloner
    • Opérations de chiffrement.Chiffrer
    • Opérations de chiffrement.Déchiffrer
    • Opérations de chiffrement.Rechiffrer
    • Si le mode de chiffrement de l'hôte n'est pas Activé, vous devez également disposer de privilèges Opérations de chiffrement.Enregistrer un hôte.

Procédure

  1. Accédez à la machine virtuelle dans l'inventaire de vSphere Client.
  2. Pour créer un clone d'une machine chiffrée, cliquez avec le bouton droit sur la machine virtuelle, sélectionnez Cloner > Cloner une Machine virtuelle et suivez les invites.
    Option Action
    Sélectionner un nom et un dossier Indiquez le nom et l'emplacement cible du clone.
    Sélectionner une ressource de calcul Spécifiez un objet pour lequel vous avez des privilèges de création de machines virtuelles. Reportez-vous à la section Conditions préalables et privilèges requis pour les tâches de chiffrement.
    Sélectionner le stockage Effectuez une sélection dans le menu Sélectionner un format de disque virtuel et sélectionnez une banque de données. Vous pouvez modifier la stratégie de stockage dans le cadre de l'opération de clonage. Par exemple, si vous choisissez de basculer d'une stratégie de chiffrement à une stratégie de non-chiffrement, cela aura pour effet de déchiffrer les disques.
    Sélectionner les options du clone Sélectionnez des options de clone, comme abordé dans la documentation de Administration d'une machine virtuelle vSphere.
    Prêt à terminer Passez vos informations en revue et cliquez sur Terminer.
  3. (Facultatif) Modifiez les clés de la machine virtuelle clonée.
    Par défaut, la machine virtuelle clonée est créée avec les mêmes clés que son parent. Il est recommandé de modifier les clés de la machine virtuelle clonée pour vous assurer que plusieurs machines virtuelles ne disposent pas des mêmes clés.
    1. Décidez d'un rechiffrement superficiel ou approfondi.
      Pour utiliser un autre clé DEK et KEK, effectuez un rechiffrement approfondi de la machine virtuelle clonée. Pour utiliser une clé KEK différente, effectuez un rechiffrement superficiel de la machine virtuelle clonée. Pour un rechiffrement approfondi, vous devez mettre hors tension la machine virtuelle. Vous pouvez effectuer une opération de rechiffrement superficielle alors que la machine virtuelle est sous tension et si des snapshots sont présents sur la machine virtuelle. Le rechiffrement superficiel d'une machine virtuelle chiffrée avec des snapshots n'est autorisé que sur une seule branche de snapshot (chaîne de disques). Plusieurs branches de snapshot ne sont pas prises en charge. Si le rechiffrement superficiel échoue avant la mise à jour de tous les liens de la chaîne avec la nouvelle clé KEK, vous pouvez toujours accéder à la machine virtuelle chiffrée si vous disposez de l'ancienne et de la nouvelle clé KEK.
    2. Effectuez un rechiffrement du clone à l'aide de l'API. Reportez-vous à la section Guide de programmation de vSphere Web Services SDK.