レプリケーショントラフィックのネットワーク暗号化

新規および既存のレプリケーションのレプリケーショントラフィックデータのネットワーク暗号化を有効にして、データ転送のセキュリティを強化することができます。

VMware Site Recovery インスタンスが VMware Cloud on AWS SDDC バージョン 1.13 以降に配置されている場合は、レプリケーショントラフィックの暗号化を有効にできます。

vSphere Replication アプライアンスは自動で暗号化エージェントをソース ESXi ホストにインストールします。ネットワーク暗号化は、セキュアな転送プロトコル TLSv1.2 を使用します。

暗号化されたレプリケーショントラフィックでは、ソース ESXi ホストとターゲットサイトの vSphere Replication サーバとの間で相互に証明書ベースの認証を使用します。

vSphere Replication 管理サーバ (VRMS) では、レプリケーションの構成や再構成に際して、ソースの仮想マシンの構成がターゲットの vSphere Replication サーバ証明書のサムプリントで更新されます。VRMS では、ターゲットサイトの各 vSphere Replication サーバをソースサイトの全 ESXi ホストの証明書に登録します。この登録は、ペアリングされている vSphere Replication サイトごとに個別に実行されます。

VRMS では、暗号化されたレプリケーショントラフィックのエンドポイントのリーフ証明書のデータを、ソース ESXi ホストとターゲット vSphere Replication サーバの認証局に関係なくやり取りします。

ソース ESXi ホストでシェルコマンド esxcli software vib list を実行して、vmware-hbr-agent VIB を検索し、システムでエージェントが使用可能であることを確認します。

ネットワーク暗号化機能を有効にすると、エージェントはソース ESXi ホスト上でレプリケーションデータを暗号化し、ターゲットサイトの vSphere Replication アプライアンスに送信します。vSphere Replication サーバはデータを復号化し、ターゲットデータストアに送信します。

暗号化されていないトラフィックは、ソース ESXi ホスト上のポート 31031 とターゲットサイトの vSphere Replication アプライアンスに送信されます。

暗号化されたトラフィックは、ソース ESXi ホスト上のポート 32032 とターゲットサイトの vSphere Replication アプライアンスに送信されます。

暗号化された仮想マシンのレプリケーションを構成すると、ネットワーク暗号化は自動的に有効になり、無効にすることはできません。

ネットワーク暗号化を有効にすると、ホストの CPU およびメモリリソースに対する影響を最小限に抑えられます。ネットワーク暗号化を有効にすると、暗号化を使用してレプリケーションする場合のホスト 1 台あたりのスループットが制限されます。この制限は、暗号化が有効になっているレプリケーションにのみ適用されます。暗号化なしのレプリケーションには影響しません。