vSphere Client からキー管理サーバ (KMS) を vCenter Server システムに追加します。

KMS クラスタは、最初の KMS インスタンスを追加するときに vCenter Server によって作成されます。KMS クラスタを 2 台以上の vCenter Server で構成する場合は、同じ KMS クラスタ名を使用するようにしてください。

注: 暗号化する vSAN クラスタに KMS サーバをデプロイしないでください。障害が発生した場合、 vSAN クラスタ内のホストから KMS に通信する必要があります。
  • KMS を追加するときに、このクラスタをデフォルトとして設定するように求められます。デフォルトのクラスタは、後から明示的に変更することができます。
  • vCenter Server によって 1 つ目のクラスタが作成された後で、同じベンダーの KMS インスタンスをクラスタに追加してすべての KMS インスタンスを構成すると、KMS インスタンス間でキーを同期させることができます。KMS ベンダーが定める方法を使用してください。
  • クラスタに設定できる KMS インスタンスは 1 つだけです。
  • ご使用の環境がさまざまなベンダーの KMS ソリューションをサポートしている場合は、複数の KMS クラスタを追加することができます。

前提条件

  • キーサーバが vSphere 互換性マトリックス にあり、KMIP 1.1 に準拠していることを確認してください。
  • 次の権限があることを確認します。Cryptographer.ManageKeyServers
  • IPv6 アドレスのみを使用して KMS に接続することはできません。
  • ユーザー名またはパスワードを要求するプロキシ サーバを介して KMS に接続することはできません。

手順

  1. vCenter Server にログインします。
  2. インベントリ リストを参照し、vCenter Serverインスタンスを選択します。
  3. [構成] をクリックし、[キー管理サーバ] をクリックします。
  4. [追加] をクリックし、ウィザードで KMS 情報を指定して、[追加] をクリックします。
    オプション
    [KMS クラスタ] 新しいクラスタを作成する場合は、[クラスタの新規作成]を選択します。クラスタが存在する場合は、そのクラスタを選択してもかまいません。
    [クラスタ名] KMS クラスタの名前。ご使用の vCenter Server インスタンスが使用不可の状態になった場合、KMS に接続するためにこの名前を使用できます。
    [サーバ エイリアス] KMS のエイリアス。ご使用の vCenter Server インスタンスが使用不可の状態になった場合、KMS に接続するためにこのエイリアスを使用できます。
    [サーバ アドレス] KMS のIP アドレスまたは FQDN。
    [サーバ ポート] vCenter Serverから KMS に接続するときに使用するポート。
    [プロキシ アドレス] KMS に接続するためのオプションのプロキシ アドレス。
    [プロキシ ポート] KMS に接続するためのオプションのプロキシ ポート。
    [ユーザー名] 一部の KMS ベンダーでは、ユーザー名とパスワードを指定することによって、ユーザーまたはグループごとに暗号化キーを分離できるようになっています。その機能がご利用の KMS でサポートされていて、かつその機能を使用する場合にのみ、ユーザー名を指定してください。
    [パスワード] 一部の KMS ベンダーでは、ユーザー名とパスワードを指定することによって、ユーザーまたはグループごとに暗号化キーを分離できるようになっています。その機能がご利用の KMS でサポートされていて、かつその機能を使用する場合にのみ、パスワードを指定してください。