Backup von verschlüsselten virtuellen Maschinen in vSphere 6.5 erstellen

Beim NBD/NBDSSL-Mode (Network Block Device Mode) hingegen führt der ESXi-Host die Lesevorgänge selbst aus und sendet dann die Daten mit Hilfe des NFC-Protokolls über das LAN (Ethernet).

Der Backup-Server muss also in jedem Fall zunächst feststellen, ob eine virtuelle Maschine verschlüsselt ist. Trifft das zu, dann wird der SAN-Mode ausgelassen, da VMware ein solches Backup verschlüsselter VMs nicht unterstützt.

Voraussetzungen für Proxy-VM

Der HotAdd-Modus funktioniert zudem nicht, wenn es sich bei der Proxy-Maschine um eine physische Maschine handelt. In diesem Fall kommt der NBD/NBDSSL-Modus, also eine Sicherung über das LAN zum Einsatz.

Nur wenn die Proxy-Maschine virtuell ist, ist auch der HotAdd-Modus verfügbar, allerdings muss die Proxy-VM dann ihrerseits verschlüsselt sein. Und noch etwas ist zu beachten: der Backup-Appliance-User muss über kryptografische Privilegien verfügen.

Augenmerk auf .vmx-Dateien

Tipp: Unabhängig vom Backup ist es bei Encrypted VMs lebenswichtig, eine Kopie der jeweiligen verschlüsselten .vmx-Datei anzufertigen und an einem sicheren Ort aufzubewahren. VMware vSphere neigt nämlich in allen Versionen bei Crashes dazu, eine leere vmx zu hinterlassen.

Bei unver­schlüsselten VMs ist das nicht weiter schlimm, weil sich versierte User jederzeit aus den alten vmware.logs eine neue vmx-Datei basteln können. Dies ist aber bei Encrypted VMs nicht möglich.

Fazit

Das Verschlüs­selungs-Feature in vSphere 6.5 lässt sich, sofern die KMS-Infrastruktur steht, sehr einfach einsetzen und erstreckt sich auf das Verschlüsseln von VMs In rest und In flight sowie auf das Verschlüsseln von Core-Dumps.

Trotzdem darf man eine Reihe von Einschränkungen nicht außer Acht lassen. So wird ein Backup verschlüsselter VMs derzeit quasi nur über das Netzwerk unterstützt und nicht im SAN-Mode. Ferner ist die verschlüsselte vmx-Datei, bzw. deren Verlust mit dem darin enthaltenen verschlüsselten Key eine Achillesferse der Technologie.