La crittografia della macchina virtuale vSphere ha alcune limitazioni relative ai dispositivi e alle funzionalità con cui può interagire.
Le seguenti limitazioni e annotazioni si riferiscono all'utilizzo di Crittografia delle macchine virtuali vSphere. Per informazioni simili sulla crittografia usando vSAN, vedere la documentazione di Amministrazione di VMware vSAN.
Limitazioni per alcune attività di crittografia
Quando si eseguono determinate attività su una macchina virtuale crittografata, si applicano alcune restrizioni.
- Per la maggior parte delle operazioni relative alla crittografia della macchina virtuale, è necessario spegnere la macchina virtuale. È possibile clonare una macchina virtuale crittografata ed eseguire una nuova crittografia superficiale mentre la macchina virtuale è accesa.
Nota: Le macchine virtuali configurate con controller IDE devono essere spente per eseguire un'operazione di ridefinizione superficiale della chiave.
- Non è possibile eseguire una nuova crittografia approfondita in una macchina virtuale con snapshot. È possibile eseguire una nuova crittografia superficiale in una macchina virtuale con snapshot.
Dispositivi Trusted Platform Module virtuale e Crittografia delle macchine virtuali vSphere
Un Virtual Trusted Platform Module (vTPM) è una rappresentazione basata sul software di un chip Trusted Platform Module 2.0 fisico. È possibile aggiungere un vTPM a una macchina virtuale nuova o esistente. Per aggiungere un vTPM a una macchina virtuale, è necessario configurare un provider di chiavi nell'ambiente vSphere. Quando si configura un vTPM, i file "home" della macchina virtuale vengono crittografati (scambio di memoria, file NVRAM e così via). I file del disco o i file VMDK non vengono crittografati automaticamente. È possibile scegliere di aggiungere esplicitamente la crittografia per i dischi della macchina virtuale.
In vSphere 8.0 e versioni successive, quando si clona una macchina virtuale che include un vTPM, è possibile scegliere di iniziare con un nuovo vTPM vuoto, a cui verranno assegnati i segreti e l'identità.
Crittografia delle macchine virtuali e snapshot e stato sospesi di vSphere
È possibile riprendere dallo stato di sospensione di una macchina virtuale crittografata oppure ripristinare uno snapshot della memoria di una macchina crittografata. È possibile eseguire la migrazione di una macchina virtuale crittografata con snapshot di memoria e stato di sospensione tra gli host ESXi.
Crittografia delle macchine virtuali vSphere e IPv6
È possibile utilizzare la crittografia della macchina virtuale vSphere in modalità IPv6 pura o in modalità mista. È possibile configurare il server di chiavi con indirizzi IPv6. È possibile configurare sia vCenter Server che il server delle chiavi con solo indirizzi IPv6.
Limitazioni relative alla clonazione nella crittografia della macchina virtuale vSphere
-
Sono supportati i cloni completi. Il clone eredita lo stato di crittografia principale, incluse le chiavi. È possibile crittografare il clone completo, crittografare nuovamente il clone completo per utilizzare nuove chiavi o decrittografare il clone completo.
I cloni collegati sono supportati e i cloni ereditano lo stato di crittografia principale, incluse le chiavi. Non è possibile decrittografare il clone collegato o crittografare nuovamente un clone collegato con chiavi diverse.
Nota: Verificare che le altre applicazioni supportino i cloni collegati. Ad esempio, VMware Horizon ® 7 supporta sia i cloni completi che i cloni istantanei, ma non i cloni collegati. - Il clone istantaneo è supportato da tutti i tipi di provider di chiavi, ma non è possibile modificare le chiavi di crittografia durante la clonazione.
- È possibile creare una macchina virtuale clone collegata da una macchina virtuale crittografata. La macchina virtuale clone collegata contiene le stesse chiavi. È possibile ridefinire i file della macchina virtuale crittografata di un clone collegato ma non è possibile ridefinire le chiavi dei dischi.
Limitazioni con vSphere Native Key Provider
Alcune operazioni non sono supportate con vSphere Native Key Provider.
- Non è possibile utilizzare vSphere Native Key Provider per crittografare le macchine virtuali in un host autonomo. L'host deve risiedere in un cluster per utilizzare vSphere Native Key Provider.
- Non è possibile spostare un host che contiene macchine virtuali crittografate utilizzando vSphere Native Key Provider in un cluster diverso a meno che il cluster di destinazione non contenga lo stesso vSphere Native Key Provider. Le macchine virtuali crittografate nell'host spostato vengono bloccate quando le chiavi di crittografia non sono presenti e il cluster di destinazione non ha lo stesso vSphere Native Key Provider.
- Non è possibile registrare una macchina virtuale crittografata da vSphere Native Key Provider in un host legacy a causa della mancanza di supporto per vSphere Native Key Provider.
- Non è possibile registrare una macchina virtuale crittografata da vSphere Native Key Provider in un host autonomo a causa dei requisiti per l'host di risiedere in un cluster.
Configurazioni del disco non supportate con crittografia della macchina virtuale vSphere.
Determinati tipi di configurazione del disco della macchina virtuale non sono supportati con la crittografia della macchina virtuale vSphere.
- RDM (Raw Device Mapping). Tuttavia, i vSphere Virtual Volumes (vVols) sono supportati.
- Dischi condivisi o multi-writer (MSCS, WSFC o Oracle RAC). I file "home" della macchina virtuale crittografati sono supportati per i dischi multi-writer. I dischi virtuali crittografati non sono supportati per i dischi multi-writer. Se si tenta di selezionare Multi-writer nella pagina Modifica impostazioni della macchina virtuale con dischi virtuali crittografati, il pulsante OK è disattivato.
Limitazioni varie nella crittografia della macchina virtuale vSphere
Le altre funzionalità che non funzionano con la crittografia della macchina virtuale vSphere sono quelle seguenti.
- vSphere ESXi Dump Collector
- Libreria di contenuti
- Le librerie di contenuti supportano due tipi di modelli, ovvero il tipo Modello OVF e il tipo Modello di macchina virtuale. Non è possibile esportare una macchina virtuale crittografata nel tipo di modello OVF. OVF Tool non supporta macchine virtuali crittografate. È possibile creare modelli di macchine virtuali crittografati utilizzando il tipo di modello di macchina virtuale. In vSphere 8.0 e versioni successive, il comando ovftool include un'opzione per aggiungere un segnaposto vTPM al file descrittore OVF. Quando si distribuisce una macchina virtuale da un modello di questo tipo, vCenter Server crea un vTPM con segreti univoci nella macchina virtuale di destinazione. Vedere la documentazione Amministrazione delle macchine virtuali vSphere.
- Il software per il backup dei dischi virtuali crittografati deve utilizzare VMware vSphere Storage API - Data Protection (VADP) per eseguire il backup dei dischi in modalità aggiunta a caldo o in modalità NBD con SSL abilitato. Tuttavia, non tutte le soluzioni di backup che utilizzano VADP per il backup del disco virtuale sono supportate. Rivolgersi al fornitore del backup per i dettagli.
- Le soluzioni in modalità di trasporto VADP SAN non sono supportate per il backup dei dischi virtuali crittografati.
- Le soluzioni VADP di aggiunta a caldo sono supportate per i dischi virtuali crittografati. Il software di backup deve supportare la crittografia della macchina virtuale proxy utilizzata come parte del workflow di aggiunta a caldo. Il fornitore deve disporre del privilegio .
- Le soluzioni di backup che utilizzano le modalità di trasporto NBD-SSL sono supportate per il backup dei dischi virtuali crittografati. L'applicazione del fornitore deve disporre del privilegio .
- Non è possibile inviare output da una macchina virtuale crittografata a una porta seriale o parallela. Anche se la configurazione sembra riuscire, l'output viene inviato a un file.
- La crittografia della macchina virtuale vSphere non è supportata in VMware Cloud on AWS. Vedere la documentazione Gestione del data center di VMware Cloud on AWS.