RDSH ファームまたは VDI デスクトップ割り当てを Microsoft Azure の Horizon Cloud ポッドに作成する場合、ディスクの暗号化を有効にするかどうかを決めることができます。ファームまたは VDI デスクトップ割り当てに対してディスクの暗号化を有効にすると、そのファームまたは VDI デスクトップ割り当てに含まれるすべての仮想マシンのすべてのディスクが暗号化されます。ファームまたは VDI デスクトップ割り当てを作成するときにディスクの暗号化を指定します。ファームまたは割り当てを作成した後に、暗号化の状態を変更することはできません。

ファームおよび VDI デスクトップ割り当てを作成するワークフローには、ディスクの暗号化を有効にするためのトグルが含まれます。これらのワークフローの詳細については、次を参照してください。

注:
  • このリリースでは、データ ディスクが接続されたイメージ仮想マシンを使用するフローティング VDI 割り当てのディスク暗号化をサポートしていません。

ディスク暗号化がパフォーマンスに与える影響

ディスク暗号化機能は、Microsoft Azure クラウドの Azure Disk Encryption (ADE) 機能によって提供されます。ADE では、Microsoft Windows の BitLocker 機能を使用して、Microsoft Azure の仮想マシンの OS およびデータ ディスクに暗号化を提供します。一般的に、BitLocker は 1 桁レベルの性能オーバーヘッドを課すので、暗号化された仮想マシンのパフォーマンスに著しい影響があります。仮想マシンの暗号化の欠点は、データ、ネットワーク、コンピューティング リソースの使用量を増加させ、その結果としてライセンスやサブスクリプション コストの追加になるおそれがあることです。仮想マシンは単純にディスクからデータを読み取ってデータを暗号化されていないディスクに書き込むのではなく、データを復号化して読み取り、データを暗号化してから暗号化されたディスクに再び書き込みます。このプロセスにおいては、キーを Azure 内のキー コンテナから読み込むので、ネットワーク使用量が増加し、CPU サイクルは暗号化の実行に使用されます。Microsoft のドキュメントでAzure Disk Encryption に関する FAQおよびBitLocker の展開と管理のよく寄せられる質問を参照してください。

暗号化キー コンテナ

ポッドの暗号化されたファームと VDI デスクトップの割り当てに使用されるキー コンテナが、ポッドのマネージャ仮想マシンを含む同一の Microsoft Azure リソース グループに作成されます。1 つのキー コンテナはポッドのすべての暗号化ファームおよびデスクトップ割り当てに使用されます。暗号化された仮想マシンの最初の作成時に、システムは関連付けられたファームまたは VDI デスクトップの割り当てを作成し、結果的にこの暗号化キー コンテナが作成されます。最初の暗号化された仮想マシンが作成されるまで、このキー コンテナはポッドのリソース グループに表示されません。

システムはポッドの ID を使用してキー コンテナの名前を生成します。これは、UUID 形式の識別子です。Microsoft Azure の命名規則に従い、システムはキー コンテナの名前を次のように設定します。

  1. ポッドの ID を取得する。
  2. 文字 kv を先頭に追加します。
  3. 英数字以外の文字をすべて削除します。
  4. 最大長を 24 文字に抑えるために必要な文字を切り詰めます。

次のスクリーンショットに、ポッドに暗号化されたファームがある場合にポッドのマネージャ仮想マシンのリソース グループにある項目を示します。スクリーンショットには、2 つのキー コンテナが示されています。1 つは、ポッドのデプロイ中に作成されたこのポッドのキー コンテナ。もう 1 つは、ディスクの暗号化が有効になっているファームまたは VDI デスクトップの割り当てが作成された結果として、最初の暗号化された仮想マシンが作成されたときに、作成されたキー コンテナです。このスクリーンショットでは、次のことを確認できます。

  • ポッドの ID は、ポッドのマネージャ仮想マシンの名前の e1c80e74-7f6f-434f-bd79-c1e3772f6c5a です。
  • 暗号化キー コンテナの名前は kve1c80e747f6f434fbd79c1 です。これはその UUID の取得、kv の先頭への追加、ハイフンの削除、および名前を 24 文字にするための切り詰めによって決まります。

Horizon Cloud on Microsoft Azure:このスクリーンショットは、ポッドのマネージャ仮想マシンのリソース グループ内にある暗号化キー コンテナを示しています。

注意: ポッドのマネージャ仮想マシンのリソース グループにあるどのキー コンテナも削除してはいけません。暗号化キー コンテナが削除されると、暗号化された仮想マシンはパワーオンされなくなります。ポッド自体のキー コンテナが削除されると、ポッドのマネージャ仮想マシンはパワーオンされなくなります。

暗号化された仮想マシンの作成および削除

暗号化された仮想マシンごとに暗号化シークレットが使用されます。暗号化されたファームまたは VDI デスクトップ割り当てで仮想マシン インスタンスが作成されると、キー コンテナにシークレットが作成されます。暗号化されたファームまたは VDI デスクトップ割り当てから仮想マシン インスタンスが削除されると、そのシークレットはキー コンテナから削除されます。

Horizon Cloud 管理コンソールを使用して暗号化されたファームまたは VDI デスクトップ割り当てを削除すると、システムは、キー コンテナから関連付けられているシークレットを削除します。ポッド自体を削除すると、暗号化された仮想マシンのキー コンテナも削除されます。

注: 暗号化されたファーム仮想マシンまたはデスクトップ仮想マシンの作成は、暗号化されていない仮想マシンの作成の約 2 倍の時間がかかります。その結果、ディスクの暗号化が有効になっているファームまたは VDI デスクトップの割り当てを作成する場合は、無効になっている場合と比べて、開始から完了までの時間が約 2 倍かかります。

また、イメージ仮想マシンにデータ ディスクがある場合は、そのイメージ仮想マシンに基づいて、暗号化されたファーム仮想マシンまたはデスクトップ仮想マシンを作成するための追加の時間が必要になります。一般に、Windows Server オペレーティング システムを実行しているデータ ディスクを使用する仮想マシンのディスク暗号化にかかる時間は、データ ディスクを使用する Windows 10 仮想マシンの場合よりも短くなります。より大きい、テラバイト単位のサイズのデータ ディスクがある Windows 10 オペレーティング システムでは、時間が最も長くかかります。

暗号化された仮想マシンが多数ある場合のファームと VDI デスクトップの割り当ての電源管理のスケジューリング

暗号化された仮想マシンをパワーオンしてから、この仮想マシンにエンド ユーザーの接続を受け入れる準備が完了するまでの時間は、暗号化されていない仮想マシンよりも長くなります。仮想マシンにあるコアの数が少ない場合、たとえは A1 サイズのときなどは、約 12 分間かかります。コア数が多くなるほど時間は短くなり、約 6 分程度になります。

予測されるエンド ユーザーの要件を満たすために、多数の仮想マシンをパワーオン状態にする電源管理機能をシステムで使用している環境で、仮想マシンが暗号化されている場合は、これらの仮想マシンにさらに時間がかかることを考慮する必要があります。システムは最大 125 台の仮想マシンを同時にパワーオンします。VDI デスクトップの割り当てまたはファームに 125 台を超える仮想マシンがあり、電源管理スケジュールで午前 8 時に割り当てまたはファームをパワーオンすると設定した場合、システムは午前 8 時に 125 台の仮想マシンのパワーオンを一度に開始します。仮想マシンが最小の A1 サイズで暗号化されている場合に、125 台の仮想マシンのバッチ処理と、接続可能になるまでにかかる 12 分を組み合わせると、準備完了までの時間はおおよそ次のようになります。
  • 午前 8 時 12 分までに、125 台の仮想マシンが準備完了
  • 午前 8 時 24 分までに、250 台の仮想マシンが準備完了
  • 午前 8 時 36 分までに、375 台の仮想マシンが準備完了

結果として、VDI デスクトップ割り当てに小さな A1 サイズの暗号化された仮想マシンが 2,000 台ある場合、すべてをパワーオン状態にし、エンド ユーザー接続の準備が完了するまでの所要時間は約 3.5 時間になります。この暗号化された A1 サイズのデスクトップをすべて午前 8 時に準備完了の状態にする場合は、電源管理のスケジュールを午前 4時 30分に起動するように設定することを検討しなければなりません。

より大きなサイズの仮想マシンでは、準備完了までの時間は約半分になります。つまり 2,000 台の暗号化された仮想マシンが A4 サイズなどより大きなサイズの場合、暗号化された VDI デスクトップ割り当てがすべて完了し、エンド ユーザー接続を受け入れる準備ができるまでに 75 分程度かかります。

同様に、暗号化された VDI デスクトップの割り当てでデスクトップの数がより少ない場合、大きな 2,000 プールのサイズよりも準備完了までの時間が早くなります。500 台の小さな A1 サイズの暗号化されたデスクトップのプールの場合、プールがすべて準備完了になるまでに約 48 分かかります。仮想マシン 500 台をバッチ 1 つ分の 125 で割ると 4 バッチとなり、これに 12 分を乗算し、48 分となります。