新規および既存のレプリケーションのレプリケーション トラフィック データのネットワーク暗号化を有効にして、データ転送のセキュリティを強化することができます。
VMware Site Recovery インスタンスが VMware Cloud on AWS SDDC バージョン 1.13 以降に配置されている場合は、レプリケーション トラフィックの暗号化を有効にできます。
vSphere Replication アプライアンスは自動で暗号化エージェントをソース ESXi ホストにインストールします。ネットワーク暗号化は、セキュアな転送プロトコル TLSv1.2 を使用します。
暗号化されたレプリケーション トラフィックでは、ソース ESXi ホストとターゲット サイトの vSphere Replication サーバとの間で相互に証明書ベースの認証を使用します。
vSphere Replication 管理サーバ (VRMS) では、レプリケーションの構成や再構成に際して、ソースの仮想マシンの構成がターゲットの vSphere Replication サーバ証明書のサムプリントで更新されます。VRMS では、ターゲット サイトの各 vSphere Replication サーバをソース サイトの全 ESXi ホストの証明書に登録します。この登録は、ペアリングされている vSphere Replication サイトごとに個別に実行されます。
VRMS では、暗号化されたレプリケーション トラフィックのエンドポイントのリーフ証明書のデータを、ソース ESXi ホストとターゲット vSphere Replication サーバの認証局に関係なくやり取りします。
ソース ESXi ホストでシェル コマンド esxcli software vib list
を実行して、vmware-hbr-agent VIB を検索し、システムでエージェントが使用可能であることを確認します。
ネットワーク暗号化機能を有効にすると、エージェントはソース ESXi ホスト上でレプリケーション データを暗号化し、ターゲット サイトの vSphere Replication アプライアンスに送信します。vSphere Replication サーバはデータを復号化し、ターゲット データストアに送信します。
暗号化されていないトラフィックは、ソース ESXi ホスト上のポート 31031 とターゲット サイトの vSphere Replication アプライアンスに送信されます。
暗号化されたトラフィックは、ソース ESXi ホスト上のポート 32032 とターゲット サイトの vSphere Replication アプライアンスに送信されます。
暗号化された仮想マシンのレプリケーションを構成すると、ネットワーク暗号化は自動的に有効になり、無効にすることはできません。
ネットワーク暗号化を有効にすると、ホストの CPU およびメモリ リソースに対する影響を最小限に抑えられます。ネットワーク暗号化を有効にすると、暗号化を使用してレプリケーションする場合のホスト 1 台あたりのスループットが制限されます。この制限は、暗号化が有効になっているレプリケーションにのみ適用されます。暗号化なしのレプリケーションには影響しません。