Le chiffrement des machines virtuelles vSphere présente des limitations quant à la compatibilité avec certains périphériques et certaines fonctionnalités.
Les limitations et remarques suivantes se rapportent à l'utilisation du chiffrement des machines virtuelles vSphere. Pour obtenir des informations similaires sur l'utilisation du chiffrement vSAN, consultez la documentation Administration de VMware vSAN.
Limitations de certaines tâches de chiffrement
Certaines restrictions s'appliquent lors de l'exécution de certaines tâches sur une machine virtuelle chiffrée.
- Pour la plupart des opérations de chiffrement de machine virtuelle, vous devez mettre la machine virtuelle hors tension. Vous pouvez cloner une machine virtuelle chiffrée et vous pouvez procéder à un rechiffrement superficiel tandis que la machine virtuelle est sous tension.
Note : Les machines virtuelles configurées avec des contrôleurs IDE doivent être mises hors tension pour effectuer une opération de renouvellement de clés superficiel.
- Vous ne pouvez pas effectuer un rechiffrement en profondeur sur une machine virtuelle incluant des snapshots. Vous pouvez effectuer un rechiffrement superficiel sur une machine virtuelle avec des snapshots.
Périphériques vTPM (Virtual Trusted Platform Module) et chiffrement de machines virtuelles vSphere
Un vTPM (Virtual Trusted Platform Module) est une représentation logicielle d'une puce TPM 2.0 (Trusted Platform Module) physique. Vous pouvez ajouter un vTPM aussi bien à une nouvelle machine virtuelle qu'à une machine virtuelle existante. Pour ajouter un vTPM à une machine virtuelle, vous devez configurer un fournisseur de clés dans votre environnement vSphere. Lorsque vous configurez un vTPM, les fichiers « de base » de la machine virtuelle sont chiffrés (échange de mémoire, fichiers NVRAM, etc.). Les fichiers de disque, ou fichiers VMDK, ne sont pas automatiquement chiffrés. Vous pouvez choisir d'ajouter explicitement le chiffrement pour les disques de machine virtuelle.
Dans vSphere 8.0 et versions ultérieures, lors du clonage d'une machine virtuelle qui inclut un vTPM, vous pouvez choisir de démarrer avec un nouveau vTPM vide qui obtient ses propres secrets et identité.
Chiffrement des machines virtuelles vSphere, état suspendu et snapshots
Vous pouvez reprendre depuis un état suspendu d'une machine virtuelle chiffrée ou restaurer un snapshot de mémoire d'une machine chiffrée. Vous pouvez migrer une machine virtuelle chiffrée avec le snapshot de mémoire et l'état suspendu entre des hôtes ESXi.
Chiffrement de machines virtuelles vSphere et IPv6
Vous pouvez utiliser le chiffrement de machines virtuelles vSphere avec le mode IPv6 pur ou en mode mixte. Vous pouvez configurer le serveur de clés avec des adresses IPv6. Vous pouvez configurer l'instance de vCenter Server et le serveur de clés avec uniquement des adresses IPv6.
Limitations du clonage dans le chiffrement des machines virtuelles vSphere
-
Le clone intégral est pris en charge. Le clone hérite de l'état de chiffrement parent, y compris des clés. Vous pouvez chiffrer le clone intégral, rechiffrer le clone intégral de façon qu'il utilise de nouvelles clés ou déchiffrer le clone intégral.
Les clones liés sont pris en charge et le clone hérite de l'état de chiffrement parent, y compris les clés. Vous ne pouvez pas déchiffrer le clone lié ou rechiffrer un clone lié avec différentes clés.
Note : Vérifiez que les autres applications prennent en charge les clones liés. Par exemple, VMware Horizon ® 7 prend en charge à la fois les clones complets et les clones instantanés, mais pas les clones liés. - Instant Clone est pris en charge par tous les types de fournisseurs de clés, mais vous ne pouvez pas modifier les clés de chiffrement sur le clone.
- Vous pouvez créer une machine virtuelle de clone lié à partir d'une machine virtuelle chiffrée. La machine virtuelle de clone lié contient les mêmes clés. Vous pouvez renouveler les clés des fichiers « d'accueil » de la machine virtuelle chiffrée d'un clone lié, mais vous ne pouvez pas renouveler les clés des disques.
Limitations de vSphere Native Key Provider
Certaines opérations ne sont pas prises en charge avec vSphere Native Key Provider.
- Vous ne pouvez pas utiliser vSphere Native Key Provider pour chiffrer des machines virtuelles sur un hôte autonome. L'hôte doit résider dans un cluster pour utiliser vSphere Native Key Provider.
- Vous ne pouvez pas déplacer un hôte qui contient des machines virtuelles chiffrées à l'aide de vSphere Native Key Provider vers un autre cluster, sauf si le cluster cible contient le même vSphere Native Key Provider. (Les machines virtuelles chiffrées sur l'hôte déplacé sont verrouillées lorsque les clés de chiffrement ne sont pas présentes et que le cluster cible n'a pas le même vSphere Native Key Provider.)
- Vous ne pouvez pas enregistrer une machine virtuelle chiffrée par vSphere Native Key Provider sur un hôte hérité en raison du manque de prise en charge de vSphere Native Key Provider.
- Vous ne pouvez pas enregistrer une machine virtuelle chiffrée par vSphere Native Key Provider sur un hôte autonome en raison de la configuration requise pour que l'hôte réside dans un cluster.
Configurations de disque non prises en charge avec le chiffrement des machines virtuelles vSphere
Certains types de configurations de disque de machine virtuelle ne sont pas pris en charge avec le chiffrement des machines virtuelles vSphere.
- Disque RDM (mappage de périphériques bruts). Toutefois, vSphere Virtual Volumes (vVols) est pris en charge.
- Disques en mode multi-écriture ou disques partagés (MSCS, WSFC ou Oracle RAC). Les fichiers « de base » de machine virtuelle chiffrés sont pris en charge pour les disques multi-écriture. Les disques virtuels chiffrés ne sont pas pris en charge pour les disques multi-écriture. Si vous tentez de sélectionner l'option Multi-écriture sur la page Modifier les paramètres de la machine virtuelle incluant des disques virtuels chiffrés, le bouton OK est désactivé.
Limitations diverses du chiffrement des machines virtuelles vSphere.
D'autres fonctionnalités ne fonctionnent pas avec le chiffrement des machines virtuelles vSphere, notamment les fonctionnalités suivantes.
- vSphere ESXi Dump Collector
- Bibliothèque de contenu
- Les bibliothèques de contenu prennent en charge deux types de modèles, à savoir le type de modèle OVF et le type de modèle de machine virtuelle. Vous ne pouvez pas exporter une machine virtuelle chiffrée vers le type de modèle OVF. L'outil OVF ne prend pas en charge les machines virtuelles chiffrées. Vous pouvez créer des modèles de machine virtuelle chiffrés à l'aide du type de modèle de machine virtuelle. Dans vSphere 8.0 et versions ultérieures, la commande ovftool inclut une option permettant d'ajouter un espace réservé vTPM au fichier du descripteur OVF. Lors du déploiement d'une machine virtuelle à partir d'un tel modèle, vCenter Server crée un vTPM avec des secrets uniques sur la machine virtuelle de destination. Reportez-vous à la documentation Administration d'une machine virtuelle vSphere.
- Le logiciel de sauvegarde des disques virtuels chiffrés doit utiliser la protection (VMware vSphere Storage API - Data Protection) pour sauvegarder les disques en mode d'ajout à chaud ou en mode NBD avec SSL activé. Cependant, toutes les solutions de sauvegarde qui utilisent VADP pour la sauvegarde de disque virtuel ne sont pas prises en charge. Pour plus de détails, consultez votre fournisseur de sauvegarde.
- Les solutions de mode de transport VADP SAN ne sont pas prises en charge pour la sauvegarde de disques virtuels chiffrés.
- Les solutions VADP Hot-Add sont prises en charge pour les disques virtuels chiffrés. Le logiciel de sauvegarde doit prendre en charge le chiffrement de la machine virtuelle proxy utilisée dans le cadre du workflow de sauvegarde d'ajout à chaud. Le fournisseur doit disposer du privilège .
- Les solutions de sauvegarde utilisant les modes de transport NBD-SSL sont prises en charge pour la sauvegarde de disques virtuels chiffrés. L'application du fournisseur doit disposer du privilège .
- Vous ne pouvez pas envoyer de sortie d'une machine virtuelle chiffrée vers un port en série ou un port parallèle. Même si la configuration semble concluante, la sortie est envoyée vers un fichier.
- Le chiffrement de la machine virtuelle vSphere n'est pas pris en charge dans VMware Cloud on AWS. Consultez la documentation Gestion du centre de données VMware Cloud on AWS.