Backup von verschlüsselten virtuellen Maschinen in vSphere 6.5 erstellen


    Tags: , ,

    Backup von verschlüsselten VMsVerschlüsselte virtu­elle Maschinen lassen sich mit einem Backup-Programm sichern, wenn es die Storage-APIs von vSphere nutzt. Aller­dings eignet sich nicht jeder Transport­modus für das Backup verschlüsselter VMs. Der SAN Mode wird gar nicht unterstützt und der HotAdd Mode nur mit einer virtuellen Proxy-Maschine.

    Im so genannten HotAdd Mode bedarf es einer virtuellen Proxy-Maschine, die sich auf einem Host mit direktem Zugriff auf die Festplatten der virtuellen Maschine befindet. Sie kann die Lesevorgänge direkt auf dem virtuellen Datenträger ausführen und eine Datenträger-zu-Disk-Kopie der Sicherungs­daten erstellen.

    Beim NBD/NBDSSL-Mode (Network Block Device Mode) hingegen führt der ESXi-Host die Lesevorgänge selbst aus und sendet dann die Daten mit Hilfe des NFC-Protokolls über das LAN (Ethernet).

    Beim NBD- bzw. NBDSSL-Modus erfolgt das Backup über das Netzwerk

    Der Backup-Server muss also in jedem Fall zunächst feststellen, ob eine virtuelle Maschine verschlüsselt ist. Trifft das zu, dann wird der SAN-Mode ausgelassen, da VMware ein solches Backup verschlüsselter VMs nicht unterstützt.

    Voraussetzungen für Proxy-VM

    Der HotAdd-Modus funktioniert zudem nicht, wenn es sich bei der Proxy-Maschine um eine physische Maschine handelt. In diesem Fall kommt der NBD/NBDSSL-Modus, also eine Sicherung über das LAN zum Einsatz.

    Der HotAdd-Modus bedient sich einer Proxy-VM

    Nur wenn die Proxy-Maschine virtuell ist, ist auch der HotAdd-Modus verfügbar, allerdings muss die Proxy-VM dann ihrerseits verschlüsselt sein. Und noch etwas ist zu beachten: der Backup-Appliance-User muss über kryptografische Privilegien verfügen.

    Augenmerk auf .vmx-Dateien

    Tipp: Unabhängig vom Backup ist es bei Encrypted VMs lebenswichtig, eine Kopie der jeweiligen verschlüsselten .vmx-Datei anzufertigen und an einem sicheren Ort aufzubewahren. VMware vSphere neigt nämlich in allen Versionen bei Crashes dazu, eine leere vmx zu hinterlassen.

    Bei unver­schlüsselten VMs ist das nicht weiter schlimm, weil sich versierte User jederzeit aus den alten vmware.logs eine neue vmx-Datei basteln können. Dies ist aber bei Encrypted VMs nicht möglich.

    Fazit

    Das Verschlüs­selungs-Feature in vSphere 6.5 lässt sich, sofern die KMS-Infrastruktur steht, sehr einfach einsetzen und erstreckt sich auf das Verschlüsseln von VMs In rest und In flight sowie auf das Verschlüsseln von Core-Dumps.

    Trotzdem darf man eine Reihe von Einschränkungen nicht außer Acht lassen. So wird ein Backup verschlüsselter VMs derzeit quasi nur über das Netzwerk unterstützt und nicht im SAN-Mode. Ferner ist die verschlüsselte vmx-Datei, bzw. deren Verlust mit dem darin enthaltenen verschlüsselten Key eine Achillesferse der Technologie.

    Täglich Know-how für IT-Pros mit unserem Newsletter

    Wir ver­wenden Ihre Mail-Adresse nur für den Ver­sand der News­letter.
    Es erfolgt keine per­sonen­be­zogene Auswertung.

    Bild von Thomas Drilling
    Thomas Drilling arbeitet seit mehr als 20 Jahren selb­ständig als Redakteur und Autor für viele ehe­malige und aktuelle IT-Magazine sowie Blogs. Thomas ist zudem Buch­autor und IT-Consultant. Seit 5 Jahren ist Thomas neben seiner journa­listischen Tätig­keit haupt­beruflicher, selb­ständiger IT-Trainer für VMware und Microsoft.

    Seine Themen­schwer­punkte sind Virtua­lisierung und Cloud Com­puting, speziell VMware, Amazon Web Services, Google Cloud und Microsoft Azure. Thomas ist zerti­fi­zierter VMware Professional, Advanced Professional und wurde von VMware in den Jahren 2016, 2017, 2018, 2019 und 2020 mit dem Blogger-Status vExpert ausge­zeichnet.

    Thomas ist außerdem zertifi­zierter AWS Solu­tions Archi­tect, Sysops Engineer und Devops Engineer sowie Microsoft Certified Azure Admini­strator.

    Thomas führt aktuell jeden zwei­ten Mon­tag einen 4-tägigen Grund­lagenkurs in Cloud Computing mit AWS via Zoom-Meeting durch. Weitere Infor­mationen und Anmel­dung über sein AWS-Blog.

    Ähnliche Beiträge

    Weitere Links