Prenez en compte les mises en garde concernant le chiffrement des machines virtuelles pour éviter l'apparition de problèmes.
Pour en savoir plus sur les dispositifs et les fonctionnalités qui ne peuvent pas être utilisés avec le chiffrement des machines virtuelles, reportez-vous à Interopérabilité du chiffrement des machines virtuelles.
Limitations des machines virtuelles chiffrées
Prenez en compte les mises en garde suivantes lorsque vous planifiez votre stratégie de chiffrement des machines virtuelles.
- Lorsque vous clonez une machine virtuelle chiffrée ou effectuez une opération Storage vMotion, vous pouvez tenter de modifier le format de disque. Ces conversions ne sont pas toujours concluantes. Par exemple, si vous clonez une machine virtuelle et tentez de remplacer le format de disque en remplaçant le format statique mis à zéro en différé par le format dynamique, le disque de la machine virtuelle conserve le format statique mis à zéro en différé.
- Si vous détachez un disque d'une machine virtuelle, les informations sur la stratégie de stockage du disque virtuel ne sont pas conservées.
- Si le disque virtuel est chiffré, vous devez explicitement définir la stratégie de stockage sur la stratégie de chiffrement des machines virtuelles ou sur une stratégie de stockage qui englobe le chiffrement.
- Si le disque virtuel n'est pas chiffré, vous pouvez modifier la stratégie de stockage lorsque vous ajoutez le disque à la machine virtuelle.
Reportez-vous à Chiffrement des disques virtuels pour plus de détails.
- Déchiffrez les vidages de mémoire avant de déplacer une machine virtuelle vers un autre cluster.
vCenter Server ne stocke pas les clés de serveur de clés, mais assure uniquement le suivi des ID de clé. Par conséquent, vCenter Server ne stocke pas la clé de l'hôte ESXi de manière persistante. Cependant, dans vSphere 7.0 Update 2 et version ultérieure, les terminaux chiffrés peuvent fonctionner même lorsque l'accès à un serveur de clés est interrompu. Reportez-vous à la section Persistance de clé vSphere sur des hôtes ESXi.
Dans certaines circonstances, par exemple lors du déplacement de l'hôte ESXi vers un autre cluster et du redémarrage de l'hôte, vCenter Server attribue une nouvelle clé d'hôte à l'hôte. Il est impossible de déchiffrer des vidages de mémoire existants avec la nouvelle clé d'hôte.
- L'exportation OVF n'est pas prise en charge pour une machine virtuelle chiffrée.
- L'utilisation de VMware Host Client pour enregistrer une machine virtuelle chiffrée n'est pas prise en charge.
État de verrouillage des machines virtuelles
Si la clé de la machine virtuelle ou une ou plusieurs clés de disque virtuel sont manquantes, la machine virtuelle passe à l'état verrouillé. Si la machine est à l'état verrouillé, vous ne pouvez pas effectuer ses opérations.
- Si vous chiffrez une machine virtuelle et ses disques à l'aide de vSphere Client, la même clé est utilisée pour les deux.
- Lorsque vous effectuez le chiffrement à l'aide de l'API, vous pouvez utiliser différentes clés de chiffrement pour la machine virtuelle et ses disques. Dans ce cas, si vous tentez de mettre sous tension une machine virtuelle et si une des clés de disque est manquante, l'opération de mise sous tension échoue. Pour remédier à cela, retirez le disque virtuel.
Pour obtenir des suggestions de dépannage, reportez-vous à Résoudre les problèmes de clés de chiffrement manquantes.