Lorsque vous clonez une machine virtuelle chiffrée, le clone est chiffré avec les mêmes clés, sauf si vous les modifiez. Pour modifier les clés, vous pouvez utiliser vSphere Client, PowerCLI ou l'API.
Si vous utilisez PowerCLI ou l'API vous pouvez cloner la machine virtuelle chiffrée et modifier les clés en une seule étape. Pour plus d'informations, consultez Guide de programmation de vSphere Web Services SDK.
Vous pouvez effectuer les opérations suivantes lors du clonage.
- Créer une machine virtuelle chiffrée à partir d'une machine virtuelle ou d'un modèle de machine virtuelle non chiffré.
- Créer une machine virtuelle non chiffrée à partir d'une machine virtuelle ou d'un modèle de machine virtuelle chiffré.
- Rechiffrer la machine virtuelle de destination avec différentes clés parmi celles de la machine virtuelle source.
- À partir de vSphere 8.0, la sélection de l'option Remplacer pour une machine virtuelle avec un périphérique vTPM commence avec un nouveau vTPM vide, qui obtient ses propres secrets et sa propre identité.
Note : vSphere 8.0 inclut le paramètre avancé vpxd.clone.tpmProvisionPolicy pour que le comportement de clonage par défaut des vTPM soit « remplacer ».
Vous pouvez créer un clone instantané de machine virtuelle à partir d'une machine virtuelle chiffrée avec l'inconvénient que le clone instantané partage la même clé avec la machine virtuelle source. Vous ne pouvez pas rechiffrer les clés sur la machine virtuelle source ou le clone instantané de machine virtuelle. Reportez-vous au
Guide de programmation de vSphere Web Services SDK.
Conditions préalables
- Un fournisseur de clés doit être configuré et activé.
- Créez une stratégie de stockage de chiffrement ou utilisez l'exemple fourni (Stratégie de chiffrement des machines virtuelles).
- Privilèges requis :
- Si le mode de chiffrement d'hôte n'est pas Activé, vous devez également disposer du privilège .
Procédure
- Accédez à une machine virtuelle dans l'inventaire vSphere Client.
- Cliquez avec le bouton droit sur la machine virtuelle et sélectionnez .
- Naviguez dans les pages de l'assistant.
- Sur la page Sélectionner un nom et un dossier, entrez un nom et sélectionnez un centre de données ou un dossier dans lequel le déployer.
- Sur la page Sélectionnez une ressource de calcul, sélectionnez un objet pour lequel vous disposez de privilèges pour créer des machines virtuelles chiffrées. Pour plus d'informations sur les conditions préalables et les privilèges requis pour les tâches de chiffrement, reportez-vous à la documentation Sécurité vSphere.
- Modifiez les clés du vTPM cloné.
Le clonage d'une machine virtuelle duplique l'intégralité de la machine virtuelle, y compris le vTPM et ses secrets, qui peuvent être utilisés pour déterminer l'identité d'un système. Pour modifier les secrets sur un vTPM, sélectionnez Remplacer dans Stratégie de provisionnement TPM.
Note :
Lorsque vous remplacez les secrets d'un vTPM, toutes les clés sont remplacées, y compris les clés liées à la charge de travail. Nous vous recommandons de vous assurer que vos charges de travail n'utilisent plus un vTPM avant de remplacer les clés. Dans le cas contraire, les charges de travail de la machine virtuelle clonée risquent de ne pas fonctionner correctement.
- Sur la page Sélectionner le stockage, sélectionnez la banque de données ou le cluster de banques de données où stocker les fichiers de configuration du modèle, ainsi que tous les disques virtuels. Vous pouvez modifier la stratégie de stockage dans le cadre de l'opération de clonage. Par exemple, si vous choisissez de basculer d'une stratégie de chiffrement à une stratégie de non-chiffrement, cela aura pour effet de déchiffrer les disques.
- Sur la page Sélectionner les options du clone, sélectionnez des options de personnalisation supplémentaires.
- Sur la page Prêt à terminer, vérifiez les informations, puis cliquez sur Terminer.
- (Facultatif) Modifiez les clés de la machine virtuelle clonée.
Par défaut, la machine virtuelle clonée est créée avec les mêmes clés que son parent. Il est recommandé de modifier les clés de la machine virtuelle clonée pour vous assurer que plusieurs machines virtuelles ne disposent pas des mêmes clés.
- Décidez d'un rechiffrement superficiel ou approfondi.
Pour utiliser un autre clé DEK et KEK, effectuez un rechiffrement approfondi de la machine virtuelle clonée. Pour utiliser une clé KEK différente, effectuez un rechiffrement superficiel de la machine virtuelle clonée. Pour un rechiffrement approfondi, vous devez mettre hors tension la machine virtuelle. Vous pouvez effectuer une opération de rechiffrement superficielle alors que la machine virtuelle est sous tension et si des snapshots sont présents sur la machine virtuelle. Le rechiffrement superficiel d'une machine virtuelle chiffrée avec des snapshots n'est autorisé que sur une seule branche de snapshot (chaîne de disques). Plusieurs branches de snapshot ne sont pas prises en charge. Si le rechiffrement superficiel échoue avant la mise à jour de tous les liens de la chaîne avec la nouvelle clé KEK, vous pouvez toujours accéder à la machine virtuelle chiffrée si vous disposez de l'ancienne et de la nouvelle clé KEK.
- Effectuez un rechiffrement du clone à l'aide de l'API. Pour plus d'informations, consultez Guide de programmation de vSphere Web Services SDK.