後から問題が発生することを避けるために、たとえば vm-support バンドルを生成するときは、仮想マシンの暗号化のベスト プラクティスに従ってください。
一般的なベスト プラクティス
問題を避けるために、次の一般的なベスト プラクティスに従ってください。
- vCenter Server Appliance 仮想マシンは暗号化しないでください。
- ESXi ホストがクラッシュしたときは、できるだけ早くサポート バンドルを取得してください。パスワードを使用するサポート バンドルの生成や、コア ダンプの復号化のため、ホスト キーが必要になります。ホストが再起動されると、ホスト キーが変更される可能性があります。このような場合は、ホスト キーを使用して、パスワードを使用するサポート バンドルの生成や、サポート バンドルのコア ダンプの復号化ができなくなります。
- KMS クラスタ名の管理は慎重に行ってください。すでに使用中の KMS の KMS クラスタ名が変更されると、その KMS のキーで暗号化された仮想マシンは、パワーオンまたは登録のときにロック状態になります。この場合は、vCenter Server から KMS を削除し、最初に使用していたクラスタ名で追加します。
- VMX ファイルと VMDK ディスクリプタ ファイルは編集しないでください。これらのファイルには暗号化バンドルが含まれています。変更を加えると、仮想マシンを復元できなくなり、この問題が修正できなくなる可能性があります。
- 暗号化プロセスでは、ホスト上のデータが暗号化されてからストレージに書き込まれます。暗号化された仮想マシンでは、重複排除や圧縮などのバックエンド ストレージ機能が働かない場合があります。vSphere 仮想マシンの暗号化を使用するときは、ストレージのトレードオフを検討してください。
- 暗号化は、CPU への負荷が高い処理です。AES-NI を使用すると、暗号化のパフォーマンスが大幅に向上します。BIOS で AES-NI を有効にします。
暗号化されたコア ダンプのベスト プラクティス
問題を診断するためにコア ダンプを調べる必要があるときは、問題を避けるために次のベスト プラクティスを実施してください。
- コア ダンプに関するポリシーを確立します。コア ダンプは、キーなどの機密情報を含む場合があるため、暗号化されています。コア ダンプを復号化する場合は、機密情報であることを考慮してください。ESXi のコア ダンプには、ESXi ホストのキーと、そこにホストされている仮想マシンのキーが含まれる場合があります。コア ダンプを復号化した後、ホスト キーを変更し、暗号化された仮想マシンを再暗号化することを検討してください。どちらのタスクも vSphere API を使用して実行できます。
詳細については、vSphere 仮想マシンの暗号化とコア ダンプを参照してください。
- vm-support バンドルを収集するときは、必ずパスワードを使用します。vSphere Client からサポート バンドルを生成するとき、または vm-support コマンドを使用するときは、パスワードを指定できます。
パスワードを指定すると、内部キーを使用しているコア ダンプはパスワードに基づくキーを使用するように再暗号化されます。暗号化されたコア ダンプがサポート バンドルに含まれている場合は、後でこのパスワードを使用して復号化できます。暗号化されていないコア ダンプとログは、パスワード オプションの使用に影響を受けません。
- vm-support バンドルの作成時に指定するパスワードは、vSphere コンポーネント内で維持されません。サポート バンドルのパスワードは、記録しておく必要があります。
- ホスト キーを変更する前に、パスワードを設定して vm-support バンドルを生成します。古いホスト キーで暗号化されたコア ダンプがある場合は、後でこのパスワードを使用してそれらにアクセスすることができます。
キーのライフサイクル管理のベスト プラクティス
- KMS の可用性を確保するためのポリシーを設定する必要があります。
KMS を使用できない場合は、仮想マシンの操作のうち vCenter Server が KMS にキーを要求する必要があるものは実行できません。稼動中の仮想マシンはそのまま稼動を続けますが、パワーオン、パワーオフ、仮想マシンの再設定は可能です。しかし、キー情報のないホストに仮想マシンを移動することはできません。
ほとんどの KMS ソリューションには、高可用性機能が含まれています。vSphere Client または API を使用して、KMS クラスタおよび関連する KMS サーバを指定できます。
- キーを記録し、既存の仮想マシンに対するキーがアクティブな状態でないときは修正する必要があります。
KMIP 標準では、キーの状態が次のように定義されています。
- Pre-Active(プレアクティブ)
- Active(アクティブ)
- Deactivated(非アクティブ)
- Compromised(侵害)
- Destroyed(破棄)
- Destroyed Compromised(破棄/侵害)
vSphere 仮想マシンの暗号化では、アクティブ状態のキーのみが暗号化に使用されます。プレアクティブ状態のキーは、vSphere 仮想マシンの暗号化によってアクティブにされます。キーの状態が非アクティブ、侵害、破棄、破棄/侵害のとき、そのキーで仮想マシンやディスクを暗号化することはできません。
キーが別の状態のとき、これらのキーを使用する仮想マシンは引き続き稼動します。クローン作成または移行の操作が成功するかどうかは、キーがすでにホスト上に存在するかどうかに依存します。- ターゲット ホストにキーが存在する場合、KMS でキーがアクティブでなくても操作は成功します。
- 要求された仮想マシンと仮想ディスクのキーがターゲット ホスト上に存在しない場合、vCenter Server は KMS からキーを取得する必要があります。キーの状態が非アクティブ、侵害、破棄、破棄/侵害のとき、vCenter Server はエラーを表示し、操作は失敗します。
キーがすでにホスト上に存在する場合、クローン作成または移行の操作は成功します。vCenter Server が KMS からキーを取得する必要がある場合、操作は失敗します。
キーがアクティブでない場合は、API を使用して再キー化操作を実行します。『vSphere Web Services SDK Programming Guide』を参照してください。
バックアップとリストアのベスト プラクティス
- 一部のバックアップ アーキテクチャはサポートされません。仮想マシンの暗号化の相互運用性を参照してください。
- リストア操作に関するポリシーを設定します。バックアップは常にクリアテキストなので、仮想マシンの暗号化はリストアが完了した直後に実行するように計画します。リストア操作の一部として仮想マシンが暗号化されるように指定することができます。機密情報が公開されることを避けるために、可能であればリストア プロセスの一部として仮想マシンを暗号化します。仮想マシンに関連付けられているディスクの暗号化ポリシーを変更するには、そのディスクのストレージ ポリシーを変更します。
- 仮想マシン ホーム ファイルが暗号化されているため、リストア時に暗号化キーが使用できることを確認します。
パフォーマンスのベスト プラクティス
- 暗号化のパフォーマンスは、CPU とストレージの速度に依存します。
- 既存の仮想マシンの暗号化には、新規に作成する仮想マシンの暗号化よりも長い時間がかかります。可能であれば、仮想マシンを作成する際に暗号化を行ってください。
ストレージ ポリシーのベスト プラクティス
ストレージ ポリシーのカスタマイズに関する詳細については、『vSphere のストレージ』を参照してください。