RDSH ファームまたは VDI デスクトップ割り当てを Microsoft Azure の Horizon Cloud ポッドに作成する場合、ディスクの暗号化を有効にするかどうかを決めることができます。ファームまたは VDI デスクトップ割り当てに対してディスクの暗号化を有効にすると、そのファームまたは VDI デスクトップ割り当てに含まれるすべての仮想マシンのすべてのディスクが暗号化されます。ファームまたは VDI デスクトップ割り当てを作成するときにディスクの暗号化を指定します。ファームまたは割り当てを作成した後に、暗号化の状態を変更することはできません。
ファームおよび VDI デスクトップ割り当てを作成するワークフローには、ディスクの暗号化を有効にするためのトグルが含まれます。これらのワークフローの詳細については、次を参照してください。
- 第 1 世代 Horizon Cloud ポッド - ファームの作成と管理
- Microsoft Azure のシングル ポッドによってプロビジョニングされる専用 VDI デスクトップ割り当ての作成
- Microsoft Azure のシングル ポッドによってプロビジョニングされるフローティング VDI デスクトップ割り当ての作成
- このリリースでは、データ ディスクが接続されたイメージ仮想マシンを使用するフローティング VDI 割り当てのディスク暗号化をサポートしていません。
ディスク暗号化がパフォーマンスに与える影響
ディスク暗号化機能は、Microsoft Azure クラウドの Azure Disk Encryption (ADE) 機能によって提供されます。ADE では、Microsoft Windows の BitLocker 機能を使用して、Microsoft Azure の仮想マシンの OS およびデータ ディスクに暗号化を提供します。一般的に、BitLocker は 1 桁レベルの性能オーバーヘッドを課すので、暗号化された仮想マシンのパフォーマンスに著しい影響があります。仮想マシンの暗号化の欠点は、データ、ネットワーク、コンピューティング リソースの使用量を増加させ、その結果としてライセンスやサブスクリプション コストの追加になるおそれがあることです。仮想マシンは単純にディスクからデータを読み取ってデータを暗号化されていないディスクに書き込むのではなく、データを復号化して読み取り、データを暗号化してから暗号化されたディスクに再び書き込みます。このプロセスにおいては、キーを Azure 内のキー コンテナから読み込むので、ネットワーク使用量が増加し、CPU サイクルは暗号化の実行に使用されます。Microsoft のドキュメントでAzure Disk Encryption に関する FAQおよびBitLocker の展開と管理のよく寄せられる質問を参照してください。
暗号化キー コンテナ
ポッドの暗号化されたファームと VDI デスクトップの割り当てに使用されるキー コンテナが、ポッドのマネージャ仮想マシンを含む同一の Microsoft Azure リソース グループに作成されます。1 つのキー コンテナはポッドのすべての暗号化ファームおよびデスクトップ割り当てに使用されます。暗号化された仮想マシンの最初の作成時に、システムは関連付けられたファームまたは VDI デスクトップの割り当てを作成し、結果的にこの暗号化キー コンテナが作成されます。最初の暗号化された仮想マシンが作成されるまで、このキー コンテナはポッドのリソース グループに表示されません。
システムはポッドの ID を使用してキー コンテナの名前を生成します。これは、UUID 形式の識別子です。Microsoft Azure の命名規則に従い、システムはキー コンテナの名前を次のように設定します。
- ポッドの ID を取得する。
- 文字
kvを先頭に追加します。 - 英数字以外の文字をすべて削除します。
- 最大長を 24 文字に抑えるために必要な文字を切り詰めます。
次のスクリーンショットに、ポッドに暗号化されたファームがある場合にポッドのマネージャ仮想マシンのリソース グループにある項目を示します。スクリーンショットには、2 つのキー コンテナが示されています。1 つは、ポッドのデプロイ中に作成されたこのポッドのキー コンテナ。もう 1 つは、ディスクの暗号化が有効になっているファームまたは VDI デスクトップの割り当てが作成された結果として、最初の暗号化された仮想マシンが作成されたときに、作成されたキー コンテナです。このスクリーンショットでは、次のことを確認できます。
- ポッドの ID は、ポッドのマネージャ仮想マシンの名前の
e1c80e74-7f6f-434f-bd79-c1e3772f6c5aです。 - 暗号化キー コンテナの名前は
kve1c80e747f6f434fbd79c1です。これはその UUID の取得、kvの先頭への追加、ハイフンの削除、および名前を 24 文字にするための切り詰めによって決まります。
暗号化された仮想マシンの作成および削除
暗号化された仮想マシンごとに暗号化シークレットが使用されます。暗号化されたファームまたは VDI デスクトップ割り当てで仮想マシン インスタンスが作成されると、キー コンテナにシークレットが作成されます。暗号化されたファームまたは VDI デスクトップ割り当てから仮想マシン インスタンスが削除されると、そのシークレットはキー コンテナから削除されます。
Horizon Cloud 管理コンソールを使用して暗号化されたファームまたは VDI デスクトップ割り当てを削除すると、システムは、キー コンテナから関連付けられているシークレットを削除します。ポッド自体を削除すると、暗号化された仮想マシンのキー コンテナも削除されます。
また、イメージ仮想マシンにデータ ディスクがある場合は、そのイメージ仮想マシンに基づいて、暗号化されたファーム仮想マシンまたはデスクトップ仮想マシンを作成するための追加の時間が必要になります。一般に、Windows Server オペレーティング システムを実行しているデータ ディスクを使用する仮想マシンのディスク暗号化にかかる時間は、データ ディスクを使用する Windows 10 または Windows 11 仮想マシンの場合よりも短くなります。より大きい、テラバイト単位のサイズのデータ ディスクがある Windows 10 または 11 オペレーティング システムでは、時間が最も長くかかります。
暗号化された仮想マシンが多数ある場合のファームと VDI デスクトップの割り当ての電源管理のスケジューリング
暗号化された仮想マシンをパワーオンしてから、この仮想マシンにエンド ユーザーの接続を受け入れる準備が完了するまでの時間は、暗号化されていない仮想マシンよりも長くなります。仮想マシンにあるコアの数が少ない場合、たとえは A1 サイズのときなどは、約 12 分間かかります。コア数が多くなるほど時間は短くなり、約 6 分程度になります。
- 午前 8 時 12 分までに、125 台の仮想マシンが準備完了
- 午前 8 時 24 分までに、250 台の仮想マシンが準備完了
- 午前 8 時 36 分までに、375 台の仮想マシンが準備完了
結果として、VDI デスクトップ割り当てに小さな A1 サイズの暗号化された仮想マシンが 2,000 台ある場合、すべてをパワーオン状態にし、エンド ユーザー接続の準備が完了するまでの所要時間は約 3.5 時間になります。この暗号化された A1 サイズのデスクトップをすべて午前 8 時に準備完了の状態にする場合は、電源管理のスケジュールを午前 4時 30分に起動するように設定することを検討しなければなりません。
より大きなサイズの仮想マシンでは、準備完了までの時間は約半分になります。つまり 2,000 台の暗号化された仮想マシンが A4 サイズなどより大きなサイズの場合、暗号化された VDI デスクトップ割り当てがすべて完了し、エンド ユーザー接続を受け入れる準備ができるまでに 75 分程度かかります。
同様に、暗号化された VDI デスクトップの割り当てでデスクトップの数がより少ない場合、大きな 2,000 プールのサイズよりも準備完了までの時間が早くなります。500 台の小さな A1 サイズの暗号化されたデスクトップのプールの場合、プールがすべて準備完了になるまでに約 48 分かかります。仮想マシン 500 台をバッチ 1 つ分の 125 で割ると 4 バッチとなり、これに 12 分を乗算し、48 分となります。
