虚拟机实时迁移并不是个新技术,但是vMotio加密添加了一个独特的安全层,因为用户不会对网络加密。
VMware vMotion允许托管系统之间对操作虚拟机的实时迁移。这一技术已经出现一段时间,而且得到了很好的验证。但是由于网络迁移的数据未加密带来了风险,促使VMware在vSphere 6.5中添加了加密的vMotion。
加密可以确保迁移中涉及的任何数据完整地到达目标主机——无法读取或更改加密的内容。
虽然加密的vMotion易于启用,但管理员了解相关规则也很重要。存储vMotion支持加密,但只有在磁盘卷已经加密时。 如果磁盘卷未加密(静止),Storage vMotion则不可用(正在运行)。
加密vMotion也是为虚拟机服务的。已经通过虚拟机加密的加密虚拟机,将一直使用vSphere加密的vMotion。
然而,如果虚拟机还没加密,管理员可以选择放弃加密;如果目标主机与ESXi 6.5兼容可以使用加密,或如果目标主机不支持它,可以强制在迁移中加密。在使用不同版本vSphere/ESXi的环境中,这一行为可能会更复杂。为了更好使用 vMotion加密,所有目标系统都需要是Sphere/ESXi 6.5或以上版本。
加密vMotion的一个有趣的属性是加密/解密过程发生在每个VM级别。这意味着虚拟机被加密而不是网络。这样可以消除任何可能使典型加密技术复杂化的加密敏感网络配置更改或证书管理问题。
VCenter产生了随机的256位密钥,和随机了64位一次性代码。VCenter发送该密钥和代码到源和目标主机——guest操作系统没有权限访问加密密钥。
源使用密钥和代码加密虚拟机,目标主机使用相同的密钥和代码来加密虚拟机。用户不能进行退回操作,或攻击虚拟机的迁移数据流,因为一次性代码的使用。
计划vMotion加密时,除了使用vSphere 6.5或以上版本外,还有几个问题需要考虑。首先,你需要vSphere之外的一个加密密钥管理系统。这可能会对备份流程产生影响,因为它只支持Ethernet备份流。这意味着跨SAN备份将不可用。另外,像挂起/重启这样的操作,带快照的虚拟机加密、 vSphere备份,和内容库功能现在都不能用了。