外部 KMS、vCenter Server システム、および ESXi ホストが vSphere 仮想マシンの暗号化ソリューションの重要な要素です。

図 1. vSphere の仮想暗号化アーキテクチャ
キーは KMS に保存されます。vCenter Server はキーを取得し、そのキー ID だけを維持して、ESXi ホストにキーを送信します。ESXi ホストは、KMS キーを使用して、暗号化に使用される内部キーを暗号化します。

キー管理サーバ

vCenter Server は外部 KMS にキーを要求します。KMS はキーを生成して保存し、配布のために vCenter Server に渡します。

vSphere Web Client または vSphere API を使用することで、KMS インスタンスのクラスタを vCenter Server システムに追加できます。1 つのクラスタ内で複数の KMS インスタンスを使用する場合は、すべてが同一ベンダーのインスタンスであること、キーを複製することが必要です。

複数の環境で複数の KMS ベンダーを使用する環境では、各 KMS に 1 つの KMS クラスタを追加し、デフォルトの KMS クラスタを指定します。最初に追加したクラスタがデフォルトのクラスタになります。後から明示的にデフォルトを指定できます。

KMIP クライアントである vCenter Server は、Key Management Interoperability Protocol (KMIP) を使用することで任意の KMS を簡単に使用することができます。

vCenter Server

KMS のログイン用の認証情報を持つのは vCenter Server だけです。ESXi ホストには、この認証情報がありません。vCenter Server は KMS からキーを取得し、ESXi ホストに渡します。vCenter Server は KMS キーを格納しませんが、キー ID のリストは保持します。

vCenter Server は、暗号化操作を実行するユーザーの権限をチェックします。vSphere Web Client を使用して、ユーザーのグループに暗号化操作権限を割り当てるか非暗号化管理者カスタム ロールを割り当てることができます。暗号化タスクの前提条件と必要な権限を参照してください。

vCenter Server は、vSphere Web Client イベント コンソールから表示、エクスポートできるイベントのリストに暗号化イベントを追加します。各イベントには、ユーザー、日時、キー ID、および暗号化操作が示されています。

KMS から取得するキーは、キー暗号化キー (KEK) として使用されます。

ESXi ホスト

ESXi ホストは、暗号化ワークフローのいくつかの場面で使用されます。

  • vCenter Server は、キーが必要になった ESXi ホストにキーを渡します。ホストは、暗号化モードが有効になっている必要があります。現在のユーザーのロールに、暗号化操作権限が含まれている必要があります。暗号化タスクの前提条件と必要な権限および暗号化操作権限を参照してください。

  • 暗号化された仮想マシンのゲスト データが、ディスクへの保存時に確実に暗号化されるようにします。

  • 暗号化された仮想マシンのゲスト データが、暗号化されないままネットワークを通じて送信されないようにします。

このドキュメントでは、ESXi ホストによって生成されるキーのことを内部キーと呼びます。このキーは通常、データ暗号化キー (DEK) として使用されます。