vSphere vMotion applique systématiquement le chiffrement lors de la migration de machines virtuelles chiffrées. Pour les machines virtuelles qui ne sont pas chiffrées, vous pouvez sélectionner l'une des options chiffrées de vSphere vMotion.

La version chiffrée de vSphere vMotion garantit la confidentialité, l'intégrité et l'authenticité des données qui sont transférées avec vSphere vMotion. vSphere prend en charge la migration vMotion chiffrée des machines virtuelles non chiffrées et chiffrées sur des instances de vCenter Server.

Éléments chiffrés

Pour les disques chiffrés, les données sont transmises chiffrées dans tous les cas. Pour les disques non chiffrés, les éléments suivants s'appliquent :
  • Si les données de disque sont transférées vers un hôte, vous modifiez uniquement la banque de données, le transfert n'est pas chiffré.
  • Si des données de disque sont transférées entre des hôtes et qu'une instance chiffrée de vMotion est utilisée, le transfert est chiffré. Si une instance chiffrée de vMotion n'est pas utilisée, le transfert n'est pas chiffré.

Lorsque les machines virtuelles sont chiffrées, la migration avec vSphere vMotion utilise systématiquement la version chiffrée de vSphere vMotion. Vous ne pouvez pas désactiver le chiffrement de vSphere vMotion pour les machines virtuelles chiffrées.

États de vSphere vMotion chiffrés

Concernant les machines virtuelles qui ne sont pas chiffrées, vous pouvez définir vSphere vMotion à l'un des états suivants. La valeur par défaut est Opportuniste.
Désactivé
N'utilisez pas vSphere vMotion chiffré.
Opportuniste
Utilisez vSphere vMotion chiffré si les hôtes source et de destination le prennent en charge. Seules les versions 6.5 et ultérieures de ESXi utilisent vSphere vMotion chiffré.
Requis
Autorisez uniquement vSphere vMotion chiffré. Si l'hôte source ou de destination ne prend pas en charge vSphere vMotion chiffré, la migration avec vSphere vMotion est interdite.

Lorsque vous chiffrez une machine virtuelle, cette dernière conserve une trace du paramètre vSphere vMotion actuellement chiffré. Si vous désactivez par la suite le chiffrement de la machine virtuelle, le paramètre vMotion chiffré demeure au niveau Requis jusqu'à ce que vous le changiez de façon explicite. Vous pouvez modifier les paramètres avec l'option Modifier les paramètres.

Reportez-vous à la documentation de Gestion de vCenter Server et des hôtes pour plus d'informations sur l'activation et la désactivation de vSphere vMotion pour les machines virtuelles qui ne sont pas chiffrées.

Note : Actuellement, vous devez utiliser les vSphere API pour migrer ou cloner des machines virtuelles chiffrées sur des instances de vCenter Server. Consultez Guide de programmation de vSphere Web Services SDK et Référence de l'API vSphere Web Services.

Migration ou clonage de machines virtuelles chiffrées entre des instances de vCenter Server

vSphere vMotion prend en charge la migration et le clonage de machines virtuelles chiffrées entre des instances de vCenter Server.

Lors de la migration ou du clonage de machines virtuelles chiffrées entre des instances de vCenter Server, les instances source et de destination de vCenter Server doivent être configurées pour partager le fournisseur de clés qui a été utilisé pour chiffrer la machine virtuelle. En outre, le nom du fournisseur de clés doit être le même sur les instances source et de destination de vCenter Server et présenter les caractéristiques suivantes :

  • Fournisseur de clés standard : le même serveur de clés (ou serveurs de clés) doit se trouver dans le fournisseur de clés.
  • Fournisseur de clés approuvé : le même service Autorité d'approbation vSphere doit être configuré sur l'hôte de destination.
  • vSphere Native Key Provider : doit avoir la même clé KDK.
    Note : Vous ne pouvez pas cloner ou migrer une machine virtuelle chiffrée à l'aide de vSphere Native Key Provider vers un hôte autonome que l'hôte source réside dans un cluster.

L'instance de destination de vCenter Server garantit que le mode de chiffrement est défini sur l'hôte ESXi de destination, ce qui garantit que l'hôte est « sécurisé » au niveau du chiffrement.

Les privilèges suivants sont requis lors de l'utilisation de vSphere vMotion pour la migration ou le clonage d'une machine virtuelle chiffrée entre des instances de vCenter Server.

  • Migration : Opérations de chiffrement.Migrer sur la machine virtuelle
  • Clonage : Opérations de chiffrement.Cloner sur la machine virtuelle

En outre, l'instance de destination de vCenter Server doit disposer du privilège Opérations de chiffrement.EncryptNew. Si l'hôte de destination de ESXi n'est pas en mode « sécurisé », le privilège Opérations de chiffrement.RegisterHost doit également se trouver sur l'instance de destination de vCenter Server.

Certaines tâches ne sont pas autorisées lors de la migration de machines virtuelles (non chiffrées ou chiffrées), sur la même instance de vCenter Server ou entre plusieurs instances de vCenter Server.

  • Vous ne pouvez pas modifier la stratégie de stockage de machine virtuelle.
  • Vous ne pouvez pas effectuer une modification de la clé.
Note : Vous pouvez modifier la stratégie de stockage VM lors du clonage de machines virtuelles.

Configuration minimale requise pour la migration ou le clonage de machines virtuelles chiffrées entre des instances de vCenter Server

La configuration minimale requise pour la migration ou le clonage de machines virtuelles chiffrées du fournisseur de clés standard entre des instances de vCenter Server à l'aide de vSphere vMotion est la suivante :

  • Les instances source et de destination de vCenter Server doivent être de version 7.0 ou ultérieure.
  • Les hôtes source et de destination d'ESXi doivent être de version 6.7 ou ultérieure.

La configuration minimale requise pour la migration ou le clonage de machines virtuelles chiffrées du fournisseur de clés approuvé entre des instances de vCenter Server à l'aide de vSphere vMotion est la suivante :

  • Le service Autorité d'approbation vSphere doit être configuré pour l'hôte de destination et l'hôte de destination doit être attesté.
  • Le chiffrement ne peut pas être modifié lors de la migration. Par exemple, un disque non chiffré ne peut pas être chiffré lors de la migration de la machine virtuelle vers un nouveau stockage.
  • Vous pouvez migrer une machine virtuelle chiffrée de type standard vers un hôte approuvé. Le nom du fournisseur de clés doit être le même sur les instances source et de destination de vCenter Server.
  • Vous ne pouvez pas migrer une machine virtuelle chiffrée de type Autorité d'approbation vSphere vers un hôte non approuvé.

Fournisseur de clés approuvé vMotion et Cross-vCenter Server vMotion

Le fournisseur de clés approuvé prend entièrement en charge vMotion sur les hôtes ESXi.

La fonction Cross-vCenter Server vMotion est prise en charge, mais avec les restrictions suivantes.

  1. Le service approuvé requis doit être configuré sur l'hôte de destination et l'hôte de destination doit être attesté.
  2. Le chiffrement ne peut pas être modifié lors de la migration. Par exemple, un disque ne peut pas être chiffré lors de la migration de la machine virtuelle vers le nouveau stockage.

Lors de l'exécution de Cross-vCenter Server vMotion, vCenter Server vérifie que le fournisseur de clés approuvé est disponible sur l'hôte de destination et que l'hôte y a accès.

vSphere Native Key Provider vMotion et Cross-vCenter Server vMotion

vSphere Native Key Provider prend en charge vMotion et vMotion chiffré sur les hôtes ESXi. Cross-vCenter Server vMotion est pris en charge si vSphere Native Key Provider est configuré sur l'hôte de destination.