Prendere in esame le avvertenze sulla Crittografia delle macchine virtuali per evitare problemi in un secondo momento.
Per capire quali dispositivi e funzionalità non possono essere utilizzati con la Crittografia della macchina virtuale, vedere Interoperabilità della crittografia delle macchine virtuali.
Limiti della macchina virtuale crittografata
Considerare le seguenti avvertenze quando si pianifica la strategia di crittografia della macchina virtuale.
- Quando si clona una macchina virtuale crittografata o si esegue un'operazione di Storage vMotion, è possibile tentare di modificare il formato del disco. Tali conversioni non sempre riescono. Ad esempio, se si clona una macchina virtuale e si tenta di cambiare il formato del disco dal formato lazy-zeroed thick a quello thin, il disco della macchina virtuale mantiene il formato lazy-zeroed thick.
- Quando si scollega un disco da una macchina virtuale, le informazioni sui criteri di storage per il disco virtuale non vengono conservate.
- Se il disco virtuale è crittografato, è necessario impostare esplicitamente il criterio di storage su Criterio di crittografia delle macchine virtuali o su un criterio di storage che includa la crittografia.
- Se il disco virtuale non è crittografato, è possibile modificare il criterio di storage quando si aggiunge il disco a una macchina virtuale.
Per i dettagli, consultare Crittografia del disco virtuale.
- Decrittografare i dump principali prima di spostare una macchina virtuale in un cluster differente.
Il vCenter Server non archivia le chiavi del server di chiavi, ma tiene traccia solo degli ID delle chiavi. Di conseguenza, vCenter Server non archivia in modo permanente la chiave host ESXi. Tuttavia, in vSphere 7.0 Update 2 e versioni successive, i dispositivi crittografati possono funzionare anche quando l'accesso a un server di chiavi viene interrotto. Vedere Persistenza della chiave di vSphere negli host ESXi.
In determinate circostanze, ad esempio, quando si sposta l'host ESXi in un cluster differente e si riavvia l'host, vCenter Server assegna una nuova chiave host all'host. Non è possibile decrittografare i dump principali esistenti con la nuova chiave host.
- Esportazione OVF non supportata per una macchina virtuale crittografata.
- L'utilizzo del VMware Host Client per registrare una macchina virtuale crittografata non è supportato.
Stato di blocco della macchina virtuale
Se la chiave della macchina virtuale o una o più chiavi del disco virtuale non sono presenti, la macchina virtuale entra in uno stato di blocco. In uno stato di blocco, non è possibile eseguire operazioni della macchina virtuale.
- Quando si crittografa sia una macchina virtuale che i suoi dischi da vSphere Client, viene utilizzata la stessa chiave per entrambi.
- Quando si esegue la crittografia utilizzando l'API, è possibile utilizzare chiavi di crittografia differenti per la macchina virtuale e per i dischi. In quel caso, se si tenta di accendere una macchina virtuale e manca una delle chiavi del disco, l'operazione di attivazione non riesce. Se si rimuove il disco virtuale, è possibile attivare la macchina virtuale.
Per suggerimenti sulla risoluzione dei problemi, vedere Risoluzione dei problemi relativi alla chiave di crittografia mancante.