vSphere 仮想マシンの暗号化には、vSphere 6.5 以降のリリースで相互運用が可能なデバイスと機能に関していくつかの制限があります。

次の制限事項と注釈は、vSphere 仮想マシンの暗号化を使用することを示しています。vSAN 暗号化の使用法に関する同様の情報については、『VMware vSAN の管理』ドキュメントを参照してください。

特定の暗号化タスクの制限

暗号化された仮想マシンで特定のタスクを実行する場合は、いくつかの制限が適用されます。

  • パワーオン状態の仮想マシンでは、ほとんどの暗号化操作を実行できません。仮想マシンをパワーオフする必要があります。仮想マシンがパワーオンされていると、暗号化された仮想マシンのクローンを作成して、再暗号化(表層)を実行できます。
  • スナップショットがある仮想マシンでは、再暗号化(深層)を実行することはできません。スナップショットがある仮想マシンでは、再暗号化(表層)を実行できます。

仮想 Trusted Platform Module デバイスと vSphere 仮想マシンの暗号化

仮想 Trusted Platform Module (vTPM) は、物理的な Trusted Platform Module 2.0 チップをソフトウェアにしたものです。vTPM は、新しい仮想マシンと既存の仮想マシンのどちらにも追加できます。仮想マシンに vTPM を追加するには、vSphere 環境でキー管理サーバ (KMS) を構成する必要があります。vTPM を構成すると、仮想マシンの「ホーム」ファイルが暗号化されます(メモリ スワップ ファイル、NVRAM ファイルなど)。ディスク ファイルまたは VMDK ファイルは自動的に暗号化されません。仮想マシンのディスクの暗号化は明示的に追加できます。

注意: 仮想マシンのクローンを作成すると、vTPM などの仮想デバイスを含む仮想マシン全体が複製されます。vTPM に保存されている情報(システムの ID を特定するためにソフトウェアが使用できる vTPM のプロパティなど)も複製されます。

vSphere 仮想マシンの暗号化とサスペンド状態およびスナップショット

vSphere 6.7 以降では、暗号化された仮想マシンをサスペンド状態からレジュームすることや、暗号化されたマシンのメモリ スナップショットに戻すことができます。メモリ スナップショットがあり、サスペンド状態になっている暗号化された仮想マシンを、ESXi ホスト間で移行することができます。

vSphere 仮想マシンの暗号化 と IPv6

vSphere 仮想マシンの暗号化は、ピュア IPv6 モードまたは混在モードで使用できます。KMS は、IPv6 アドレスを使用して設定できます。IPv6 アドレスのみを使用して、vCenter Server と KMS の両方を構成することができます。

vSphere 仮想マシン暗号化でのクローン作成の制限

いくつかのクローン作成機能は、 vSphere 仮想マシンの暗号化と同時に使用することはできません。
  • クローン作成は条件付きでサポートされます。

    • フル クローンはサポートされます。このクローンには、キーも含めて親の暗号化状態が継承されます。フル クローンを暗号化したり、再暗号化して新しいキーを使用したり、復号化したりできます。

      リンク クローンはサポートされており、キーを含む親の暗号化状態が継承されます。リンク クローンを復号化することや、別のキーで再暗号化することはできません。

      注: 他のアプリケーションがリンク クローンをサポートしていることを確認します。たとえば、VMware Horizon ® 7 はフル クローンとインスタント クローンの両方をサポートしていますが、リンク クローンはサポートしていません。
  • インスタント クローンはサポートされていますが、クローン上で暗号化キーを変更することはできません。

vSphere 仮想マシンの暗号化を使用したディスク構成はサポートされていません

仮想マシン ディスクの構成のうち、一部の種類は vSphere 仮想マシンの暗号化ではサポートされません。

  • RDM(Raw デバイス マッピング)。ただし、 vSphere Virtual Volumes (vVol)はサポートされます。
  • マルチライターまたは共有ディスク(MSCS、WSFC、または Oracle RAC)。暗号化された仮想マシンの「ホーム」ファイルは、マルチライター ディスクでサポートされています。暗号化された仮想ディスクは、マルチライター ディスクではサポートされていません。暗号化された仮想ディスクを含む仮想マシンの [設定の編集] 画面でマルチライターを選択する際に、[OK] ボタンが無効になります。

vSphere 仮想マシンの暗号化に関するその他の制限事項

vSphere 仮想マシンの暗号化で動作しないその他の機能は、以下のとおりです。

  • vSphere Fault Tolerance
  • vSphere ESXi Dump Collector
  • 暗号化された仮想マシンから別の vCenter Server インスタンスへの vMotion による移行。vMotion を使用して、暗号化されていない仮想マシンの移行を暗号化することがサポートされます。
  • コンテンツ ライブラリ
    • コンテンツ ライブラリでは、OVF テンプレート タイプと仮想マシン テンプレート タイプの 2 種類のテンプレートがサポートされます。暗号化された仮想マシンを OVF テンプレート タイプにエクスポートすることはできません。OVF Tool は暗号化された仮想マシンをサポートしていません。仮想マシン テンプレート タイプを使用して、暗号化された仮想マシン テンプレートを作成できます。『vSphere 仮想マシン管理ガイド』 ドキュメントを参照してください。
  • 暗号化された仮想ディスクをバックアップするソフトウェアは、VMware vSphere Storage API - Data Protection (VADP) を使用して、ホット アド モードまたは SSL が有効な NBD モードでディスクをバックアップする必要があります。ただし、仮想ディスクのバックアップに VADP を使用するすべてのバックアップ ソリューションがサポートされているわけではありません。詳細については、バックアップ ベンダーにお問い合わせください。
    • 暗号化された仮想ディスクのバックアップでは、VADP SAN 転送モード ソリューションはサポートされていません。
    • VADP ホット アド ソリューションは、暗号化された仮想ディスクでサポートされています。バックアップ ソフトウェアは、ホット アド バックアップ ワークフローの一部として使用されるプロキシ仮想マシンの暗号化をサポートしている必要があります。ベンダーのアプリケーションには、暗号化操作.直接アクセス権限権限が必要です。
    • 暗号化された仮想ディスクのバックアップでは、NBD-SSL 転送モードを使用するバックアップ ソリューションがサポートされています。ベンダーのアプリケーションには、Cryptographic Operations.Direct Access 権限が必要です。
  • 暗号化された仮想マシンからの出力をシリアル ポートまたはパラレル ポートに送信することはできません。構成が成功したように見えても、出力はファイルに送信されます。
  • vSphere 仮想マシンの暗号化は VMware Cloud on AWS ではサポートされていません。『VMware Cloud on AWS データセンターの管理』ドキュメントを参照してください。