Quando si clona una macchina virtuale crittografata, il clone viene crittografato con le stesse chiavi, a meno che non le si modifichi. Per modificare le chiavi, è possibile utilizzare vSphere Client, PowerCLI o l'API.

Se si utilizza PowerCLI o l'API, è possibile clonare la macchina virtuale crittografata e modificare le chiavi con un solo passaggio. Per ulteriori informazioni, vedere la Guida alla programmazione di vSphere Web Services SDK.

Durante la procedura di clonazione è possibile eseguire le seguenti operazioni.
  • Creare una macchina virtuale crittografata da una macchina virtuale non crittografata o da un modello della macchina virtuale.
  • Creare una macchina virtuale decrittografata da una macchina virtuale crittografata o da un modello della macchina virtuale.
  • Crittografare nuovamente la macchina virtuale di destinazione con chiavi diverse da quelle utilizzate per la macchina virtuale di origine.
  • A partire da vSphere 8.0, se si seleziona l'opzione Sostituisci per una macchina virtuale con un dispositivo vTPM, viene creato un nuovo vTPM vuoto a cui vengono aggiunti segreti e identità.
Nota: vSphere 8.0 include l'impostazione avanzata vpxd.clone.tpmProvisionPolicy per rendere "Sostituisci" il comportamento di clonazione predefinito per i vTPM.
È possibile creare una macchina virtuale di clonazione istantanea da una macchina virtuale crittografata a condizione che il clone istantaneo condivida la stessa chiave con la macchina virtuale di origine. Non è possibile crittografare nuovamente le chiavi nella macchina virtuale di origine o in quello di clonazione istantanea. Vedere la Guida alla programmazione di vSphere Web Services SDK.

Prerequisiti

  • È necessario configurare e abilitare un provider di chiavi.
  • Creare un criterio di storage di crittografia o utilizzare il campione in bundle, il criterio di crittografia della macchina virtuale.
  • Privilegi richiesti:
    • Operazioni crittografiche.Clona
    • Operazioni crittografiche.Crittografa
    • Operazioni crittografiche.Decrittografa
    • Operazioni crittografiche.Crittografa nuovamente
    • La modalità di crittografia dell'host non è Abilitata. È necessario disporre anche del privilegio Operazioni crittografiche.Registra host.

Procedura

  1. Accedere alla macchina virtuale nell'inventario di vSphere Client.
  2. Fare clic con il pulsante destro del mouse sulla macchina virtuale e scegliere Clona > Clona su macchina virtuale > .
  3. Sfogliare le pagine della procedura guidata.
    1. Nella pagina Seleziona un nome e una cartella, immettere un nome e selezionare un data center o una cartella in cui distribuirlo.
    2. In Seleziona risorsa di elaborazione, selezionare un oggetto per cui si dispone dei privilegi necessari per creare macchine virtuali crittografate. Per informazioni sui prerequisiti e sui privilegi necessari per le attività di crittografia, vedere la documentazione sulla Sicurezza di vSphere.
    3. Modificare le chiavi per il vTPM clonato.

      Se si clona una macchina virtuale, viene duplicata l'intera macchina virtuale, incluso il vTPM e i suoi segreti, che possono essere utilizzati per determinare l'identità di un sistema. Per modificare i segreti in un vTPM, selezionare Sostituisci per Criterio di provisioning TPM.

      Nota:

      Quando si sostituiscono i segreti di un vTPM, tutte le chiavi, incluse le chiavi relative al carico di lavoro, vengono sostituite. Prima di sostituire le chiavi, è consigliabile assicurarsi che i carichi di lavoro non utilizzino più il vTPM. In caso contrario, i carichi di lavoro nella macchina virtuale clonata potrebbero non funzionare correttamente.

    4. Nella pagina Seleziona storage, selezionare il datastore o il cluster di datastore in cui archiviare i file di configurazione del modello e tutti i dischi virtuali. È possibile modificare il criterio di storage come parte dell'operazione di clonazione. Ad esempio, il passaggio da un criterio di crittografia a un criterio di non crittografia consente di decrittografare i dischi.
    5. In Seleziona opzioni di clonazione, selezionare opzioni di personalizzazione aggiuntive.
    6. Nella pagina Pronto per il completamento, rivedere i dettagli e fare clic su Fine.
  4. (Facoltativo) Modificare i tasti della macchina virtuale clonata.
    Per impostazione predefinita, la macchina virtuale clonata viene creata con le stesse chiavi della macchina virtuale principale. La procedura consigliata consiste nel modificare i tasti clonati della macchina virtuale per fare in modo che più macchine virtuali non abbiano gli stessi tasti.
    1. Stabilire se eseguire una nuova crittografia superficiale o approfondita.

      Per utilizzare DEK o KEK diverse, eseguire una crittografia approfondita della macchina virtuale clonata. Per utilizzare una KEK diversa, eseguire una nuova crittografia superficiale della macchina virtuale clonata. Per una nuova crittografia approfondita, è necessario spegnere la macchina virtuale. È possibile eseguire un'operazione di riesecuzione della crittografia superficiale se la macchina virtuale è accesa e se sono presenti snapshot nella macchina virtuale. Una nuova crittografia superficiale di una macchina virtuale crittografata con snapshot è consentita solo in un singolo ramo di snapshot (catena di dischi). I rami di snapshot multipli non sono supportati. Se la nuova crittografia superficiale produce un errore prima che vengano aggiornati tutti i collegamenti nella catena con la nuova KEK, sarà comunque possibile accedere alla macchina virtuale crittografata se sono presenti le KEK nuove e quelle precedenti.

    2. Eseguire una nuova crittografia del clone utilizzando l'API di. Per ulteriori informazioni, vedere la Guida alla programmazione di vSphere Web Services SDK.