Backup von verschlüsselten virtuellen Maschinen in vSphere 6.5 erstellen VMware VM-Encryption

Was bei verschlüsselten Backups zu beachten ist.

Verschlüsselte virtu­elle Maschinen lassen sich mit einem Backup-Programm sichern, wenn es die Storage-APIs von vSphere nutzt. Aller­dings eignet sich nicht jeder Transport­modus für das Backup verschlüsselter VMs. Der SAN Mode wird gar nicht unterstützt und der HotAdd Mode nur mit einer virtuellen Proxy-Maschine.

Im so genannten HotAdd Mode bedarf es einer virtuellen Proxy-Maschine, die sich auf einem Host mit direktem Zugriff auf die Festplatten der virtuellen Maschine befindet. Sie kann die Lesevorgänge direkt auf dem virtuellen Datenträger ausführen und eine Datenträger-zu-Disk-Kopie der Sicherungs­daten erstellen.

Beim NBD/NBDSSL-Mode (Network Block Device Mode) hingegen führt der ESXi-Host die Lesevorgänge selbst aus und sendet dann die Daten mit Hilfe des NFC-Protokolls über das LAN (Ethernet).

Der Backup-Server muss also in jedem Fall zunächst feststellen, ob eine virtuelle Maschine verschlüsselt ist. Trifft das zu, dann wird der SAN-Mode ausgelassen, da VMware ein solches Backup verschlüsselter VMs nicht unterstützt.

Voraussetzungen für Proxy-VM

Der HotAdd-Modus funktioniert zudem nicht, wenn es sich bei der Proxy-Maschine um eine physische Maschine handelt. In diesem Fall kommt der NBD/NBDSSL-Modus, also eine Sicherung über das LAN zum Einsatz.

Nur wenn die Proxy-Maschine virtuell ist, ist auch der HotAdd-Modus verfügbar, allerdings muss die Proxy-VM dann ihrerseits verschlüsselt sein. Und noch etwas ist zu beachten: der Backup-Appliance-User muss über kryptografische Privilegien verfügen.

Augenmerk auf .vmx-Dateien

Tipp: Unabhängig vom Backup ist es bei Encrypted VMs lebenswichtig, eine Kopie der jeweiligen verschlüsselten .vmx-Datei anzufertigen und an einem sicheren Ort aufzubewahren. VMware vSphere neigt nämlich in allen Versionen bei Crashes dazu, eine leere vmx zu hinterlassen.

Bei unver­schlüsselten VMs ist das nicht weiter schlimm, weil sich versierte User jederzeit aus den alten vmware.logs eine neue vmx-Datei basteln können. Dies ist aber bei Encrypted VMs nicht möglich.

Fazit

Das Verschlüs­selungs-Feature in vSphere 6.5 lässt sich, sofern die KMS-Infrastruktur steht, sehr einfach einsetzen und erstreckt sich auf das Verschlüsseln von VMs In rest und In flight sowie auf das Verschlüsseln von Core-Dumps.

Trotzdem darf man eine Reihe von Einschränkungen nicht außer Acht lassen. So wird ein Backup verschlüsselter VMs derzeit quasi nur über das Netzwerk unterstützt und nicht im SAN-Mode. Ferner ist die verschlüsselte vmx-Datei, bzw. deren Verlust mit dem darin enthaltenen verschlüsselten Key eine Achillesferse der Technologie.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.