ストレージ ポリシーは、仮想マシンの暗号化を促進します。ストレージ ポリシーで暗号化を有効にしてから、仮想マシンの構成ファイルとそのディスクに割り当てます。レプリケーションは暗号化ステータスに従います。レプリケーションに仮想マシンを追加する前に、まず仮想マシンを暗号化します。
重要: 暗号化された仮想マシンと暗号化されていない仮想マシンの両方を含む vApp はレプリケートできません。
レプリケートされた仮想マシンが暗号化された状態から暗号化されていない状態に変更された場合は、レプリケーションを停止してから起動することで再確立します。
前提条件
- ソース サイトとターゲット サイトのバージョンの前提条件:
-
- vSphere DR および移行の場合は、ソース サイトとターゲット サイトの両方で vCenter Server 7.0 U2 以降と VMware Cloud Director Availability 4.5 を使用します。
- または、VMware Cloud Director によってバッキングされているクラウド サイトの場合は、vCenter Server 6.7 U3 以降、サポートされているバージョンの VMware Cloud Director Availability、および VMware Cloud Director 10.1 以降を使用します。
- ソース サイトとターゲット サイトの両方の ESXi ホストの前提条件:
-
すべての
ESXi ホストに HBR エージェント VIB をインストールします。アプライアンスから HBR エージェント VIB ファイルを直接ダウンロードするには:
- アプライアンスのタイプとデプロイに応じて、アプライアンスの次の URL からファイルをダウンロードします。
- https://vCenter_Replication_Management_Appliance_Address:8043/hbr-agent.vib ファイル。
- https://Replicator_Appliance_Address/hbr-agent.vib ファイル。
- または、アプライアンス ファイルシステムから、/opt/vmware/hbr/vib/vmware-hbr-agent-build_number.i386.vib ファイルをダウンロードします。
VIB の詳細およびインストール方法については、『VMware ESXi アップグレード ガイド』のVIB、イメージ プロファイル、およびソフトウェア デポを参照してください。
- アプライアンスのタイプとデプロイに応じて、アプライアンスの次の URL からファイルをダウンロードします。
- ソース サイトとターゲット サイトの両方の vCenter Server インスタンスの前提条件:
-
- vSphere でキー プロバイダを構成します。詳細については、『vSphere セキュリティ ガイド』の仮想マシンの暗号化を参照してください。
- vSphere 7.0 以降では、外部キー サーバを必要としない VMware vSphere® Native Key Provider™ を構成します。詳細については、『vSphere セキュリティ ガイド』のvSphere Native Key Provider の構成と管理を参照してください。
- または、vSphere 6.x または 7.x および VMware Cloud Director によってバッキングされているクラウド サイトの場合は、外部キー サーバ(以前のキー管理サーバ クラスタ)を構成し、クラスタ名が一致していることを確認します。標準キー プロバイダの構成の詳細については、『vSphere セキュリティ ガイド』のキー管理サーバ クラスタの設定を参照してください。
- ソースとターゲットの両方の vCenter Server インスタンスに同じキー プロバイダを使用します。詳細については、『vSphere セキュリティ ガイド』のvSphere Native Key Provider の概要を参照してください。
両方のサイトで同じ vSphere キー プロバイダを使用するようにするには、たとえば、サイト A からキー プロバイダをバックアップしてから、サイト B でリストアして、デフォルトとして設定します。
- vSphere では、暗号化された仮想マシンには暗号化ストレージ ポリシーが必要です。詳細については、『vSphere セキュリティ ガイド』の暗号化ストレージ ポリシーの作成および暗号化された仮想マシンの作成、または既存の仮想マシンまたは仮想ディスクの暗号化を参照してください。
- vSphere でキー プロバイダを構成します。詳細については、『vSphere セキュリティ ガイド』の仮想マシンの暗号化を参照してください。
- VMware Cloud Director によってバッキングされているクラウド サイトの前提条件:
-
- ソースとターゲットの両方の vCenter Server インスタンスで同じキー プロバイダが使用されていることを確認します。詳細については、『vSphere セキュリティ ガイド』のvSphere Native Key Provider の概要またはキー管理サーバ クラスタの設定を参照してください。
- 組織管理者ロールに「vApp:仮想マシンおよび仮想マシンのディスクの暗号化ステータスを表示」権限があることを確認します。詳細については、『VMware Cloud Director テナント ポータル ガイド』の事前定義されたグローバル テナント ロールの権限を参照してください。
- 暗号化が有効なストレージ ポリシーをプロバイダ VDC に追加します。詳細については、『VMware Cloud Director Service Provider Admin Portal ガイド』のプロバイダ仮想データセンターへの仮想マシン ストレージ ポリシーの追加を参照してください。
- 暗号化が有効なストレージ ポリシーを組織 VDC に追加します。詳細については、『VMware Cloud Director Service Provider Admin Portal ガイド』の組織仮想データセンターへの仮想マシン ストレージ ポリシーの追加を参照してください。
- 暗号化が有効なストレージ ポリシーを適用して、暗号化された仮想マシンを作成します。暗号化された仮想マシンのレプリケーションには、暗号化が有効なストレージ ポリシーを持つ仮想マシンのみを含めることができます。
- レプリケートする vApp または仮想マシンが存在するサイトまでセッションが拡張されていることを確認します。詳細については、リモート サイトへの認証を参照してください。
手順
結果
暗号化された仮想マシンのみを含む新しいレプリケーションでは、レプリケーション データ通信に暗号化が使用されます。