Verschlüsselte virtuelle Maschinen lassen sich mit einem Backup-Programm sichern, wenn es die Storage-APIs von vSphere nutzt. Allerdings eignet sich nicht jeder Transportmodus für das Backup verschlüsselter VMs. Der SAN Mode wird gar nicht unterstützt und der HotAdd Mode nur mit einer virtuellen Proxy-Maschine.
Im so genannten HotAdd Mode bedarf es einer virtuellen Proxy-Maschine, die sich auf einem Host mit direktem Zugriff auf die Festplatten der virtuellen Maschine befindet. Sie kann die Lesevorgänge direkt auf dem virtuellen Datenträger ausführen und eine Datenträger-zu-Disk-Kopie der Sicherungsdaten erstellen.
Beim NBD/NBDSSL-Mode (Network Block Device Mode) hingegen führt der ESXi-Host die Lesevorgänge selbst aus und sendet dann die Daten mit Hilfe des NFC-Protokolls über das LAN (Ethernet).
Der Backup-Server muss also in jedem Fall zunächst feststellen, ob eine virtuelle Maschine verschlüsselt ist. Trifft das zu, dann wird der SAN-Mode ausgelassen, da VMware ein solches Backup verschlüsselter VMs nicht unterstützt.
Voraussetzungen für Proxy-VM
Der HotAdd-Modus funktioniert zudem nicht, wenn es sich bei der Proxy-Maschine um eine physische Maschine handelt. In diesem Fall kommt der NBD/NBDSSL-Modus, also eine Sicherung über das LAN zum Einsatz.
Nur wenn die Proxy-Maschine virtuell ist, ist auch der HotAdd-Modus verfügbar, allerdings muss die Proxy-VM dann ihrerseits verschlüsselt sein. Und noch etwas ist zu beachten: der Backup-Appliance-User muss über kryptografische Privilegien verfügen.
Augenmerk auf .vmx-Dateien
Tipp: Unabhängig vom Backup ist es bei Encrypted VMs lebenswichtig, eine Kopie der jeweiligen verschlüsselten .vmx-Datei anzufertigen und an einem sicheren Ort aufzubewahren. VMware vSphere neigt nämlich in allen Versionen bei Crashes dazu, eine leere vmx zu hinterlassen.
Bei unverschlüsselten VMs ist das nicht weiter schlimm, weil sich versierte User jederzeit aus den alten vmware.logs eine neue vmx-Datei basteln können. Dies ist aber bei Encrypted VMs nicht möglich.
Fazit
Das Verschlüsselungs-Feature in vSphere 6.5 lässt sich, sofern die KMS-Infrastruktur steht, sehr einfach einsetzen und erstreckt sich auf das Verschlüsseln von VMs In rest und In flight sowie auf das Verschlüsseln von Core-Dumps.
Trotzdem darf man eine Reihe von Einschränkungen nicht außer Acht lassen. So wird ein Backup verschlüsselter VMs derzeit quasi nur über das Netzwerk unterstützt und nicht im SAN-Mode. Ferner ist die verschlüsselte vmx-Datei, bzw. deren Verlust mit dem darin enthaltenen verschlüsselten Key eine Achillesferse der Technologie.