vCenter Server が KMS に接続された後は、必要な権限を持ったユーザーが、暗号化された仮想マシンやディスクを作成できるようになります。これらのユーザーは、他の暗号化タスク(既存の仮想マシンの暗号化、暗号化された仮想マシンの復号化など)を実行することもできます。

このプロセスのフローには、KMS、vCenter ServerESXi ホストが含まれます。

図 1. vSphere の仮想暗号化アーキテクチャ
キーは KMS に保存されます。vCenter Server はキーを取得し、そのキー ID だけを維持して、ESXi ホストにキーを送信します。ESXi ホストは、KMS キーを使用して、暗号化に使用される内部キーを暗号化します。

暗号化プロセスでは、各種の vSphere コンポーネントが次のように作用し合います。

  1. ユーザーが暗号化タスク(暗号化された仮想マシンの作成など)を実行すると、vCenter Server は、新しいキーをデフォルトの KMS に要求します。このキーは KEK として使用されます。

  2. vCenter Server が、そのキー ID を保存し、ESXi ホストにキーを渡します。ESXi ホストがクラスタに属している場合、vCenter Server は、その KEK をクラスタ内の各ホストに送信します。

    キーそのものは vCenter Server システムに保存されません。把握されるのは、このキー ID だけです。

  3. ESXi ホストが、仮想マシンとそのディスクに使用する内部キー (DEK) を生成します。さらに、生成した内部キーをメモリにのみ保持し、KEK を使用して内部キーを暗号化します。

    暗号化されていない内部キーがディスクに格納されることは決してありません。格納されるのは、暗号化されたデータだけです。KEK は KMS から取得されたものなので、ホストは同じ KEK を使用し続けます。

  4. ESXi ホストが、暗号化された内部キーで仮想マシンを暗号化します。

    この KEK を保有し、かつ暗号化されたキー ファイルにアクセスできるすべてのホストは、暗号化された仮想マシンまたは暗号化されたディスクに対する操作を実行することができます。

後で仮想マシンを復号化したい場合は、そのストレージ ポリシーを変更します。仮想マシンとすべてのディスクのストレージ ポリシーを変更することができます。コンポーネントを個別に復号化する必要がある場合は、まず選択したディスクを復号化したうえで、仮想マシン ホームのストレージ ポリシーを変更することによって仮想マシンを復号化します。個々のコンポーネントを復号化する場合、両方のキーが必要になります。