Le chiffrement des machines virtuelles vSphere présente des limitations quant à la compatibilité avec certains périphériques et certaines fonctionnalités.
Les limitations et remarques suivantes se rapportent à l'utilisation du chiffrement des machines virtuelles vSphere. Pour obtenir des informations similaires sur l'utilisation du chiffrement vSAN, consultez la documentation Administration de VMware vSAN.
Limitations de certaines tâches de chiffrement
Certaines restrictions s'appliquent lors de l'exécution de certaines tâches sur une machine virtuelle chiffrée.
- Vous ne pouvez pas effectuer la plupart des opérations de chiffrement sur une machine virtuelle sous tension. La machine virtuelle doit être hors tension. Vous pouvez cloner une machine virtuelle chiffrée et vous pouvez procéder à un rechiffrement superficiel tandis que la machine virtuelle est sous tension.
- Vous ne pouvez pas effectuer un rechiffrement en profondeur sur une machine virtuelle incluant des snapshots. Vous pouvez effectuer un rechiffrement superficiel sur une machine virtuelle avec des snapshots.
Périphériques vTPM (Virtual Trusted Platform Module) et chiffrement de machines virtuelles vSphere
Un vTPM (Virtual Trusted Platform Module) est une représentation logicielle d'une puce TPM 2.0 (Trusted Platform Module) physique. Vous pouvez ajouter un vTPM aussi bien à une nouvelle machine virtuelle qu'à une machine virtuelle existante. Pour ajouter un vTPM à une machine virtuelle, vous devez configurer un fournisseur de clés dans votre environnement vSphere. Lorsque vous configurez un vTPM, les fichiers « de base » de la machine virtuelle sont chiffrés (échange de mémoire, fichiers NVRAM, etc.). Les fichiers de disque, ou fichiers VMDK, ne sont pas automatiquement chiffrés. Vous pouvez choisir d'ajouter explicitement le chiffrement pour les disques de machine virtuelle.
Chiffrement des machines virtuelles vSphere, état suspendu et snapshots
Vous pouvez reprendre depuis un état suspendu d'une machine virtuelle chiffrée ou restaurer un snapshot de mémoire d'une machine chiffrée. Vous pouvez migrer une machine virtuelle chiffrée avec le snapshot de mémoire et l'état suspendu entre des hôtes ESXi.
Chiffrement de machines virtuelles vSphere et IPv6
Vous pouvez utiliser le chiffrement de machines virtuelles vSphere avec le mode IPv6 pur ou en mode mixte. Vous pouvez configurer le serveur de clés avec des adresses IPv6. Vous pouvez configurer l'instance de vCenter Server et le serveur de clés avec uniquement des adresses IPv6.
Limitations du clonage dans le chiffrement des machines virtuelles vSphere
- Pour un fournisseur de clés standard, le clonage est pris en charge sous condition.
-
Le clone intégral est pris en charge. Le clone hérite de l'état de chiffrement parent, y compris des clés. Vous pouvez chiffrer le clone intégral, rechiffrer le clone intégral de façon qu'il utilise de nouvelles clés ou déchiffrer le clone intégral.
Les clones liés sont pris en charge et le clone hérite de l'état de chiffrement parent, y compris les clés. Vous ne pouvez pas déchiffrer le clone lié ou rechiffrer un clone lié avec différentes clés.
Note : Vérifiez que les autres applications prennent en charge les clones liés. Par exemple, VMware Horizon ® 7 prend en charge à la fois les clones complets et les clones instantanés, mais pas les clones liés.
-
- Pour un fournisseur de clés approuvé ou un vSphere Native Key Provider, le clonage est pris en charge, mais les clés de chiffrement ne peuvent pas être modifiées sur le clone. Ce comportement diffère du chiffrement standard dans lequel vous pouvez modifier les clés lors de la création d'un clone. Les opérations suivantes ne sont pas prises en charge par Autorité d'approbation vSphere ou vSphere Native Key Provider lors du clonage d'une machine virtuelle :
- Clonage d'une machine virtuelle non chiffrée vers une machine virtuelle chiffrée
- Clonage d'une machine virtuelle chiffrée et modification des clés de chiffrement
- Clonage d'une machine virtuelle chiffrée vers une machine virtuelle non chiffrée
- Instant Clone est pris en charge par tous les types de fournisseurs de clés, mais vous ne pouvez pas modifier les clés de chiffrement sur le clone.
Configurations de disque non prises en charge avec le chiffrement des machines virtuelles vSphere
Certains types de configurations de disque de machine virtuelle ne sont pas pris en charge avec le chiffrement des machines virtuelles vSphere.
- Disque RDM (mappage de périphériques bruts). Toutefois, vSphere Virtual Volumes (vVols) est pris en charge.
- Disques en mode multi-écriture ou disques partagés (MSCS, WSFC ou Oracle RAC). Les fichiers « de base » de machine virtuelle chiffrés sont pris en charge pour les disques multi-écriture. Les disques virtuels chiffrés ne sont pas pris en charge pour les disques multi-écriture. Si vous tentez de sélectionner l'option Multi-écriture sur la page Modifier les paramètres de la machine virtuelle incluant des disques virtuels chiffrés, le bouton OK est désactivé.
Limitations diverses du chiffrement des machines virtuelles vSphere.
D'autres fonctionnalités ne fonctionnent pas avec le chiffrement des machines virtuelles vSphere, notamment :
- vSphere ESXi Dump Collector
- Bibliothèque de contenu
- Les bibliothèques de contenu prennent en charge deux types de modèles, à savoir le type de modèle OVF et le type de modèle de machine virtuelle. Vous ne pouvez pas exporter une machine virtuelle chiffrée vers le type de modèle OVF. L'outil OVF ne prend pas en charge les machines virtuelles chiffrées. Vous pouvez créer des modèles de machine virtuelle chiffrés à l'aide du type de modèle de machine virtuelle. Reportez-vous à la documentation Administration d'une machine virtuelle vSphere.
- Le logiciel de sauvegarde des disques virtuels chiffrés doit utiliser la protection (VMware vSphere Storage API - Data Protection) pour sauvegarder les disques en mode d'ajout à chaud ou en mode NBD avec SSL activé. Cependant, toutes les solutions de sauvegarde qui utilisent VADP pour la sauvegarde de disque virtuel ne sont pas prises en charge. Pour plus de détails, consultez votre fournisseur de sauvegarde.
- Les solutions de mode de transport VADP SAN ne sont pas prises en charge pour la sauvegarde de disques virtuels chiffrés.
- Les solutions VADP Hot-Add sont prises en charge pour les disques virtuels chiffrés. Le logiciel de sauvegarde doit prendre en charge le chiffrement de la machine virtuelle proxy utilisée dans le cadre du workflow de sauvegarde d'ajout à chaud. Le fournisseur doit disposer du privilège .
- Les solutions de sauvegarde utilisant les modes de transport NBD-SSL sont prises en charge pour la sauvegarde de disques virtuels chiffrés. L'application du fournisseur doit disposer du privilège .
- Vous ne pouvez pas envoyer de sortie d'une machine virtuelle chiffrée vers un port en série ou un port parallèle. Même si la configuration semble concluante, la sortie est envoyée vers un fichier.
- Le chiffrement de la machine virtuelle vSphere n'est pas pris en charge dans VMware Cloud on AWS. Consultez la documentation Gestion du centre de données VMware Cloud on AWS.