vSphere vMotion crittografato protegge la riservatezza, l'integrità e l'autenticità dei dati trasferiti con vSphere vMotion. vSphere supporta vMotion crittografato per le macchine virtuali non crittografate e crittografate nelle istanze di vCenter Server.

vSphere vMotion utilizza sempre la crittografia durante la migrazione di macchine virtuali crittografate. Per le macchine virtuali che non sono crittografate, è possibile selezionare una delle opzioni di vSphere vMotion crittografato.

Elementi crittografati in vSphere vMotion crittografato

Per i dischi crittografati, i dati vengono trasmessi in formato crittografato in tutti i casi. Per i dischi non crittografati, si verifica quanto segue:
  • Se i dati del disco vengono trasferiti all'interno di un host, ovvero senza passare a un altro host ma cambiando solo datastore, il trasferimento non è crittografato.
  • Se i dati del disco vengono trasferiti da un host a un altro e viene utilizzato vMotion crittografato, il trasferimento è crittografato. Se non si utilizza vMotion crittografato, il trasferimento non è crittografato.

Per le macchine virtuali crittografate, la migrazione con vSphere vMotion utilizza sempre vSphere vMotion crittografato. Non è possibile disattivare vSphere vMotion crittografato per le macchine virtuali crittografate.

Stati di vSphere vMotion crittografato per le macchine virtuali non crittografate

Per le macchine virtuali che non sono crittografate, è possibile impostare vSphere vMotion crittografato su uno degli stati seguenti. Il valore predefinito è Opportunistico.
Disabilitato
Non utilizzare vSphere vMotion crittografato.
Opportunistica
Utilizzare vSphere vMotion crittografato se gli host di origine e di destinazione lo supportano. Solo gli host ESXi 6.5 e versioni successive supportano vSphere vMotion crittografato.
Obbligatorio
Consentire solo vSphere vMotion crittografato. Se l'host di origine o l'host di destinazione non supporta vSphere vMotion crittografato, la migrazione con vSphere vMotion non è consentita.

Quando si crittografa una macchina virtuale, la macchina virtuale conserva un record dell'impostazione corrente di vSphere vMotion crittografato. Se in seguito si disattiva la crittografia per la macchina virtuale, l'impostazione di vMotion crittografato rimane su Obbligatorio finché non viene modificata esplicitamente. È possibile modificare le impostazioni utilizzando Modifica impostazioni.

Per informazioni sull'attivazione e la disattivazione di vSphere vMotion crittografato per le macchine virtuali non crittografate, vedere la documentazione vCenter Server e gestione degli host.

Nota: Al momento è necessario utilizzare le vSphere API per migrare o clonare macchine virtuali crittografate nelle istanze di vCenter Server. Vedere Guida alla programmazione di vSphere Web Services SDK e la documentazione di riferimento dell'API di vSphere Web Services.

Migrazione o clonazione di macchine virtuali crittografate nelle istanze di vCenter Server

vSphere vMotion supporta la migrazione e la clonazione di macchine virtuali crittografate nelle istanze di vCenter Server.

Durante la migrazione o la clonazione di macchine virtuali crittografate in istanze di vCenter Server, le istanze di vCenter Server di origine e di destinazione devono essere configurate in modo da condividere il provider di chiavi utilizzato per crittografare la macchina virtuale. Inoltre, il nome del provider di chiavi deve essere lo stesso nelle istanze di vCenter Server di origine e di destinazione e avere le seguenti caratteristiche:

  • Provider di chiavi standard: lo stesso (o gli stessi) server di chiavi deve trovarsi nel provider di chiavi.
  • Provider di chiavi attendibile: lo stesso servizio vSphere Trust Authority deve essere configurato nell'host di destinazione.
  • vSphere Native Key Provider: deve avere lo stesso KDK.
    Nota: Non è possibile clonare o migrare una macchina virtuale crittografata utilizzando vSphere Native Key Provider in un host autonomo, indipendentemente dal fatto che l'host di origine si trovi in un cluster.

Il vCenter Server di destinazione garantisce che nell'host ESXi di destinazione sia impostata la modalità di crittografia in modo che l'host sia "sicuro" dal punto di vista della crittografia.

Quando si utilizza vSphere vMotion per migrare o clonare una macchina virtuale crittografata nelle istanze di vCenter Server, sono necessari i privilegi seguenti.

  • Migrazione: Operazioni crittografiche.Migra nella macchina virtuale
  • Clonazione: Operazioni crittografiche.Clona nella macchina virtuale

Inoltre, il vCenter Server di destinazione deve disporre del privilegio Operazioni crittografiche.EncryptNew. Se l'host ESXi di destinazione non è in modalità "sicura", il vCenter Server di destinazione deve disporre anche del privilegio Operazioni crittografiche.RegisterHost.

Determinate attività non sono consentite durante la migrazione di macchine virtuali (non crittografate o crittografate) nello stesso vCenter Server o nelle istanze di vCenter Server.

  • Non è possibile modificare il criterio di storage della macchina virtuale.
  • Non è possibile eseguire una modifica della chiave.
Nota: È possibile modificare il criterio di storage della macchina virtuale durante la clonazione delle macchine virtuali.

Requisiti minimi per la migrazione o la clonazione di macchine virtuali crittografate nelle istanze di vCenter Server

I requisiti di versione minimi per la migrazione o la clonazione di macchine virtuali crittografate del provider di chiavi standard nelle istanze di vCenter Server tramite vSphere vMotion sono:

  • La versione delle istanze di vCenter Server di origine e di destinazione deve essere la 7.0 o successiva.
  • La versione degli host di ESXi di origine e di destinazione deve essere la 6.7 o successiva.

I requisiti di versione minimi per la migrazione o la clonazione di macchine virtuali crittografate del provider di chiavi attendibile nelle istanze di vCenter Server tramite vSphere vMotion sono:

  • Il servizio vSphere Trust Authority deve essere configurato per l'host di destinazione e l'host di destinazione deve disporre dell'attestazione.
  • Impossibile modificare la crittografia durante la migrazione. Ad esempio, non è possibile crittografare un disco non crittografato mentre la macchina virtuale viene migrata nel nuovo storage.
  • È possibile eseguire la migrazione di una macchina virtuale crittografata standard in un host attendibile. Il nome del provider di chiavi deve essere lo stesso nelle istanze di origine e nelle istanze di destinazione di vCenter Server.
  • Non è possibile eseguire la migrazione di una macchina virtuale crittografata di vSphere Trust Authority in un host non attendibile.

Provider di chiavi attendibile, vMotion e Cross-vCenter Server vMotion

Il provider di chiavi attendibile supporta completamente vMotion negli host ESXi.

Cross-vCenter Server vMotion è supportato, ma con le limitazioni seguenti.

  1. È necessario configurare il servizio attendibile necessario nell'host di destinazione e l'host di destinazione deve disporre dell'attestazione.
  2. Impossibile modificare la crittografia durante la migrazione. Ad esempio, non è possibile crittografare un disco mentre la macchina virtuale viene migrata nel nuovo storage.

Quando si esegue Cross-vCenter Server vMotion, vCenter Server verifica che il provider di chiavi attendibile sia disponibile nell'host di destinazione e se l'host può accedervi.

vSphere Native Key Provider vMotion e Cross-vCenter Server vMotion

vSphere Native Key Provider supporta vMotion e vMotion crittografato negli host ESXi. Cross-vCenter Server vMotion è supportato se vSphere Native Key Provider è configurato nell'host di destinazione.