Una macchina virtuale clonata e crittografata sarà crittografata con le stesse chiavi a meno che non vengano modificate. Per modificare le chiavi, è possibile utilizzare vSphere Client, PowerCLI o l'API. Se si utilizza PowerCLI o l'API, è possibile clonare la macchina virtuale crittografata e modificare le chiavi con un solo passaggio.

Durante la procedura di clonazione è possibile eseguire le seguenti operazioni.

  • Creare una macchina virtuale crittografata da una macchina virtuale non crittografata o da una macchina virtuale modello.
  • Creare una macchina virtuale decrittografata da una macchina virtuale crittografata o da una macchina virtuale modello.
  • Crittografare nuovamente la macchina virtuale di destinazione con chiavi diverse da quelle utilizzate per la macchina virtuale di origine.
  • In vSphere 8.0 e versioni successive, se si seleziona l'opzione Sostituisci per una macchina virtuale con un vTPM, viene avviato un nuovo vTPM vuoto a cui vengono attribuiti segreti e identità.
Nota: vSphere 8.0 e versioni successive includono l'impostazione avanzata vpxd.clone.tpmProvisionPolicy per fare in modo che il comportamento di clonazione predefinito per i vTPM sia "sostituzione".

È possibile creare una macchina virtuale di clonazione istantanea da una macchina virtuale crittografata a condizione che il clone istantaneo condivida la stessa chiave con la macchina virtuale di origine. Non è possibile crittografare nuovamente le chiavi nella macchina virtuale di origine o in quello di clonazione istantanea.

Per utilizzare l'API per clonare macchine crittografate, vedere Guida alla programmazione di vSphere Web Services SDK.

Prerequisiti

  • È necessario configurare e abilitare un provider di chiavi.
  • Creare un criterio di storage di crittografia o utilizzare il campione in bundle, il criterio di crittografia della macchina virtuale.
  • Privilegi richiesti (si applicano a tutti i provider di chiavi):
    • Operazioni crittografiche.Clona
    • Operazioni crittografiche.Crittografa
    • Operazioni crittografiche.Decrittografa
    • Operazioni crittografiche.Crittografa nuovamente
    • Se la modalità di crittografia dell'host non è attivata, è necessario disporre anche dei privilegi Operazioni crittografiche.Registra host.

Procedura

  1. Ricercare la macchina virtuale nell'inventario di vSphere Client.
  2. Per creare un clone di una macchina crittografata, fare clic con il pulsante destro del mouse sulla macchina virtuale, scegliere Clona > Clone in macchina virtuale e seguire le istruzioni visualizzate.
    1. Nella pagina Seleziona un nome e una cartella, specificare un nome e una posizione per la clone.
    2. Nella pagina Seleziona una risorsa di elaborazione, specificare un oggetto per il quale si dispone dei privilegi.
    3. (Facoltativo) Modificare le chiavi per il vTPM clonato.
      Figura 1. Selezionare il criterio di provisioning TPM
      Questa schermata mostra le scelte per il criterio di provisioning TPM durante la clonazione di una macchina virtuale con un vTPM.
      Se si clona una macchina virtuale, viene duplicata l'intera macchina virtuale, incluso il vTPM e i suoi segreti, che possono essere utilizzati per determinare l'identità di un sistema. Per modificare i segreti in un vTPM, selezionare Sostituisci per Criterio di provisioning TPM.
      Nota: Quando si sostituiscono i segreti di un vTPM, tutte le chiavi, incluse le chiavi relative al carico di lavoro, vengono sostituite. Prima di sostituire le chiavi, è consigliabile assicurarsi che i carichi di lavoro non utilizzino più il vTPM. In caso contrario, i carichi di lavoro nella macchina virtuale clonata potrebbero non funzionare correttamente.
    4. Nella pagina Seleziona storage, selezionare un datastore. È possibile modificare il criterio di storage come parte dell'operazione di clonazione. Ad esempio, se si passa da un criterio di crittografia a un criterio di non crittografia, i dischi vengono decrittografati.
    5. Nella pagina Seleziona opzioni di clonazione, selezionare le opzioni di clonazione, come descritto nella documentazione di Amministrazione delle macchine virtuali vSphere.
    6. Nella pagina Pronto per il completamento, rivedere i dettagli e fare clic su Fine.
  3. (Facoltativo) Modificare i tasti della macchina virtuale clonata.
    Per impostazione predefinita, la macchina virtuale clonata viene creata con le stesse chiavi della macchina virtuale principale. La procedura consigliata consiste nel modificare le chiavi della macchina virtuale clonata per fare in modo che più macchine virtuali non abbiano gli stessi tasti.
    1. Stabilire se eseguire una nuova crittografia superficiale o approfondita.
      Per utilizzare DEK o KEK diverse, eseguire una crittografia approfondita della macchina virtuale clonata. Per utilizzare una KEK diversa, eseguire una nuova crittografia superficiale della macchina virtuale clonata. Per una nuova crittografia approfondita, è necessario spegnere la macchina virtuale. È possibile eseguire un'operazione di riesecuzione della crittografia superficiale se la macchina virtuale è accesa e se sono presenti snapshot nella macchina virtuale. Una nuova crittografia superficiale di una macchina virtuale crittografata con snapshot è consentita solo in un singolo ramo di snapshot (catena di dischi). I rami di snapshot multipli non sono supportati. Se la nuova crittografia superficiale produce un errore prima che vengano aggiornati tutti i collegamenti nella catena con la nuova KEK, sarà comunque possibile accedere alla macchina virtuale crittografata se sono presenti le KEK nuove e quelle precedenti.
    2. Eseguire una nuova crittografia del clone utilizzando l'API di. Vedere Guida alla programmazione di vSphere Web Services SDK.