vSAN 暗号化を使用する場合、次のガイドラインを考慮してください。
- 暗号化する vSAN データストアと同じデータストアに、KMS サーバをデプロイしないでください。
- 暗号化は、CPU への負荷が高い処理です。AES-NI を使用すると、暗号化のパフォーマンスが大幅に向上します。BIOS で AES-NI を有効にします。
- ストレッチ クラスタ内の監視ホストは、vSAN 暗号化には関与しません。監視ホストにはメタデータのみが保存されます。
- コア ダンプに関するポリシーを確立します。コア ダンプは、キーなどの機密情報を含む場合があるため、暗号化されています。コア ダンプを復号する場合は、このような機密情報を注意して扱ってください。ESXi のコア ダンプには、ESXi ホストのキーと、そこに保存されているデータのキーが含まれる場合があります。
- vm-support バンドルを収集するときは、必ずパスワードを使用します。vSphere Client からサポート バンドルを生成するとき、または vm-support コマンドを使用するときは、パスワードを指定できます。
パスワードを指定すると、内部キーを使用しているコア ダンプはパスワードに基づくキーを使用するように再暗号化されます。暗号化されたコア ダンプがサポート バンドルに含まれている場合は、後でこのパスワードを使用して復号化できます。暗号化されていないコア ダンプやログは、影響を受けません。
- vm-support バンドルの作成時に指定するパスワードは、vSphere コンポーネント内で維持されません。サポート バンドルのパスワードは、記録しておく必要があります。
- vm-support バンドルを収集するときは、必ずパスワードを使用します。vSphere Client からサポート バンドルを生成するとき、または vm-support コマンドを使用するときは、パスワードを指定できます。