後から問題が発生しないように、仮想マシンの暗号化に関する注意事項を確認してください。

仮想マシンの暗号化で使用できないデバイスおよび機能については、仮想マシンの暗号化の相互運用性を参照してください。

制限

仮想マシンの暗号化戦略を立てるときは、次の注意点を考慮してください。

  • 暗号化された仮想マシンのクローンを作成するとき、または Storage vMotion 操作を実行するときに、ディスク形式を変更することができます。しかし、ディスク形式の変換は成功しないことがあります。たとえば、仮想マシンのクローンを作成するときにディスク形式を lazy-zeroed シック フォーマットからシン フォーマットに変更しても、仮想マシンのディスクは lazy-zeroed シック フォーマットのままです。

  • 設定の編集 メニューを使用して、仮想マシンとそのディスクを暗号化することはできません。代わりに、ストレージ ポリシーを変更する必要があります。暗号化された仮想マシンの暗号化されていないディスクの暗号化など、その他の暗号化タスクを実行するには、設定の編集 メニューを使用するか、ストレージ ポリシーを変更します。既存の仮想マシンまたは仮想ディスクの暗号化を参照してください。

  • 仮想マシンからディスクを切り離すと、仮想ディスクのストレージ ポリシー情報は保持されません。

    • 仮想ディスクが暗号化されている場合は、ストレージ ポリシーを [仮想マシン暗号化ポリシー]、または暗号化を含むストレージ ポリシーに明示的に設定する必要があります。

    • 仮想ディスクが暗号化されていない場合は、そのディスクを仮想マシンに追加するときにストレージ ポリシーを変更できます。

    詳細については、仮想ディスクの暗号化を参照してください。

  • コア ダンプは、仮想マシンを別のクラスタに移動する前に復号化してください。

    vCenter Server には KMS キーは保存されません。キー ID が記録されるだけです。そのため、vCenter ServerESXi ホスト キーが永続的に保持されることはありません。

    一定の条件のとき、たとえば ESXi ホストを別のクラスタに移動してホストを再起動した場合は、そのホストには vCenter Server によって新しいホスト キーが割り当てられます。この新しいホスト キーで既存のコア ダンプを復号化することはできません。

  • 暗号化された仮想マシンでは、OVF Export はサポートされません。

仮想マシンのロック状態

この仮想マシンのキー、または少なくとも 1 つの仮想ディスクのキーが失われると、仮想マシンはロック状態になります。ロック状態の間、仮想マシンの操作は実行できません。

  • 仮想マシンとそのディスクの両方を vSphere Web Client から暗号化する場合は、両方に同じキーを使用する必要があります。

  • API を使用して暗号化を実行する場合は、仮想マシンとディスクに異なる暗号化キーを使用できます。その場合、仮想マシンをパワーオンしようとしたときにディスク キーのいずれかがないと、パワーオン操作は失敗します。仮想ディスクを削除すると、仮想マシンをパワーオンできます。

トラブルシューティングのヒントについては、キー紛失に関する問題の解決を参照してください。

キー管理サーバ (KMS)

vCenter Server システムに KMS を 1 回だけ追加できます。2 つの異なる KMS クラスタ インスタンスなど、KMS を 2 回追加することはできません。