Шифрование ВМ в KVM

@OmgZomg · Регистрация: 09.03.2021

Мне нужно защифровать виртуалку используя KVM. Я установил qemu-kvm,qemu-img,virt-manager libvirt на CentOS 8. Создал там виртуалку с fedora. Как теперь шифровать эту виртуалку?

@Alli_Lupin · 06.05.2022, 16:53

что в виртуалке вам надо зашифровать? Ответ "всё" не принимается.

@OmgZomg · 06.05.2022, 16:59 **[ТС]**

Шифрование диска

@Alli_Lupin · 06.05.2022, 17:00

OmgZomg, так его надо внутри самой ОС включать

@OmgZomg · 06.05.2022, 17:23 **[ТС]**

Видимо для понимая ситуации, мне нужно описать, что я делал раннее.
Задача - сделать шифрование виртуалки, наподобие как реализовано в VMWare.

Что поначалу делал я:
Я собирался перенести установленную ОС на виртуалке на зашифрованный диск. Создал пустой диск luks, и с помощью qemu данные с первого диска (где установлена ОС) перенести на созданный luks диск. Но возникает проблема с реализацией такого метода в oVirt. Поэтому было решено сделать шифрование на стороне KVM. Вот отсюда вопрос...

@_sg2 · 06.05.2022, 23:50

эээ...
А как это данные с помощью qemu переносить? И в оВирте есть миграция из Вари, попробуйте её.

@OmgZomg · 07.05.2022, 10:06 **[ТС]**

Поднобное описано тут
https://stackoverflow.com/ques... qcow-image

@_sg2 · 07.05.2022, 14:37

а. конвертация)) не пугайте, у нас не совпало видение терминологии.
Скажите, а варя сама может шифровать виртуалку? Или таки за это отвечает ОС внутри ВМ? Не работал с варей, извините уж за любопытство.

@OmgZomg · 07.05.2022, 19:43 **[ТС]**

Да, VMWare Workstation умеет шифровать виртуалку. В настройках виртуалки опция Encryption.
Кстати , может подскажет кто , как именно Workstation шифрует виртуалку? Какой там принцип ? В инете как то неособо раскрыт этот вопрос.

@_sg2 · 07.05.2022, 21:21

Фиг его... В текущих условиях броcайте варю и переходите на zVirt.

@OmgZomg · 10.05.2022, 14:03 **[ТС]**

Если вдруг кому интересно, как происходит шифрование ВМ в VmWare:

В механизме VM Encryption используется два ключа симметричного шифрования:

1. Data Encryption Key (дал. DEK). Этот ключ генерирует ESXi хост. Таким ключом зашифрованы файлы конфигурации и файлы виртуальных дисков виртуальной машины. Для файлов конфигурации VM DEK хранится в *.vmx в зашифрованном виде, для файлов виртуальных дисков - в *.vmdk файле в зашифрованном виде.

2. Key Encryption Key (дал. KEK). Этот ключ генерирует KMS. Таким ключом зашифрован DEK. Этот ключ хранится в базе данных KMS и в оперативной памяти ESXi хоста, на котором зарегистрирована VM.

Этапы инициализации шифрования:
1.vCenter запрашивает KEK у KMS. KMS генерирует KEK, сохраняет его в своей базе данных, и передает его vCenter. vCenter передаёт KEK на хост ESXi . ESXi хранят KEK в оперативной памяти и никогда не записывают его на диск.
2.ESXi, получив KEK, генерирует DEK, зашифровывает DEK с помощью KEK и записывает зашифрованный DEK в конфигурационный файл VM.
3.ESXi выполняет процесс шифрования файлов VM с помощью DEK. Шифрование виртуальной машины с использованием DEK выполняется с использованием стандартных отраслевых библиотек OpenSSL

Этапы включения зашифрованной VM:
1.ESXi получает команду на запуск зашифрованной VM, проверяет в своей ОЗУ наличие KEK для расшифровки VM. Если KEK нет в ОЗУ ESXi, KEK запрашивается у vCenter, а vCenter запрашивает KEK у KMS.
2.KMS передаёт KEK vCenter, а vCenter передаёт KEK ESXi хосту.
3.ESXi хост запускает VM.

@OmgZomg 0 / 0 / 0 Регистрация: 09.03.2021 Сообщений: 10
	10.05.2022, 14:03 [ТС]	11
	Если вдруг кому интересно, как происходит шифрование ВМ в VmWare: В механизме VM Encryption используется два ключа симметричного шифрования: 1. Data Encryption Key (дал. DEK). Этот ключ генерирует ESXi хост. Таким ключом зашифрованы файлы конфигурации и файлы виртуальных дисков виртуальной машины. Для файлов конфигурации VM DEK хранится в .vmx в зашифрованном виде, для файлов виртуальных дисков - в .vmdk файле в зашифрованном виде. 2. Key Encryption Key (дал. KEK). Этот ключ генерирует KMS. Таким ключом зашифрован DEK. Этот ключ хранится в базе данных KMS и в оперативной памяти ESXi хоста, на котором зарегистрирована VM. Этапы инициализации шифрования: 1.vCenter запрашивает KEK у KMS. KMS генерирует KEK, сохраняет его в своей базе данных, и передает его vCenter. vCenter передаёт KEK на хост ESXi . ESXi хранят KEK в оперативной памяти и никогда не записывают его на диск. 2.ESXi, получив KEK, генерирует DEK, зашифровывает DEK с помощью KEK и записывает зашифрованный DEK в конфигурационный файл VM. 3.ESXi выполняет процесс шифрования файлов VM с помощью DEK. Шифрование виртуальной машины с использованием DEK выполняется с использованием стандартных отраслевых библиотек OpenSSL Этапы включения зашифрованной VM: 1.ESXi получает команду на запуск зашифрованной VM, проверяет в своей ОЗУ наличие KEK для расшифровки VM. Если KEK нет в ОЗУ ESXi, KEK запрашивается у vCenter, а vCenter запрашивает KEK у KMS. 2.KMS передаёт KEK vCenter, а vCenter передаёт KEK ESXi хосту. 3.ESXi хост запускает VM. 0

@OmgZomg 0 / 0 / 0 Регистрация: 09.03.2021 Сообщений: 10
		1
	Шифрование ВМ в KVM 06.05.2022, 16:19. Показов 363. Ответов 10 Метки kvm, virtual machine (Все метки) Мне нужно защифровать виртуалку используя KVM. Я установил qemu-kvm,qemu-img,virt-manager libvirt на CentOS 8. Создал там виртуалку с fedora. Как теперь шифровать эту виртуалку? __________________ Помощь в написании контрольных, курсовых и дипломных работ, диссертаций здесь 0

@Alli_Lupin 800 / 620 / 90 Регистрация: 29.01.2013 Сообщений: 4,010
	06.05.2022, 16:53	2
	что в виртуалке вам надо зашифровать? Ответ "всё" не принимается. 0

@OmgZomg 0 / 0 / 0 Регистрация: 09.03.2021 Сообщений: 10
	06.05.2022, 16:59 [ТС]	3
	Шифрование диска 0

@Alli_Lupin 800 / 620 / 90 Регистрация: 29.01.2013 Сообщений: 4,010
	06.05.2022, 17:00	4
	OmgZomg, так его надо внутри самой ОС включать 0

@OmgZomg 0 / 0 / 0 Регистрация: 09.03.2021 Сообщений: 10
	06.05.2022, 17:23 [ТС]	5
	Видимо для понимая ситуации, мне нужно описать, что я делал раннее. Задача - сделать шифрование виртуалки, наподобие как реализовано в VMWare. Что поначалу делал я: Я собирался перенести установленную ОС на виртуалке на зашифрованный диск. Создал пустой диск luks, и с помощью qemu данные с первого диска (где установлена ОС) перенести на созданный luks диск. Но возникает проблема с реализацией такого метода в oVirt. Поэтому было решено сделать шифрование на стороне KVM. Вот отсюда вопрос... 0

@_sg2 279 / 114 / 29 Регистрация: 30.08.2017 Сообщений: 940
	06.05.2022, 23:50	6
	эээ... А как это данные с помощью qemu переносить? И в оВирте есть миграция из Вари, попробуйте её. 0

@OmgZomg 0 / 0 / 0 Регистрация: 09.03.2021 Сообщений: 10
	07.05.2022, 10:06 [ТС]	7
	Поднобное описано тут https://stackoverflow.com/ques... qcow-image 0

@_sg2 279 / 114 / 29 Регистрация: 30.08.2017 Сообщений: 940
	07.05.2022, 14:37	8
	а. конвертация)) не пугайте, у нас не совпало видение терминологии. Скажите, а варя сама может шифровать виртуалку? Или таки за это отвечает ОС внутри ВМ? Не работал с варей, извините уж за любопытство. 0

@OmgZomg 0 / 0 / 0 Регистрация: 09.03.2021 Сообщений: 10
	07.05.2022, 19:43 [ТС]	9
	Да, VMWare Workstation умеет шифровать виртуалку. В настройках виртуалки опция Encryption. Кстати , может подскажет кто , как именно Workstation шифрует виртуалку? Какой там принцип ? В инете как то неособо раскрыт этот вопрос. 0

@_sg2 279 / 114 / 29 Регистрация: 30.08.2017 Сообщений: 940
	07.05.2022, 21:21	10
	Фиг его... В текущих условиях броcайте варю и переходите на zVirt. 0

Опции темы