ESXi ホストでのキーの永続性

標準のキー プロバイダを使用する場合、ESXi ホストは vCenter Server を使用して暗号化キーを管理します。信頼済みキー プロバイダを使用する場合、ESXi ホストは信頼機関ホストのキーを直接使用します。vCenter Server は使用されません。

キー プロバイダのタイプに関係なく、ESXi ホストは最初にキーを取得し、キー キャッシュに保持します。ESXi ホストを再起動すると、そのキー キャッシュは失われます。その場合、ESXi ホストは、キー サーバ（標準のキー プロバイダ）または信頼機関ホスト（信頼済みキー プロバイダ）からのキーの取得を再度要求します。ESXi ホストがキーを取得する際に、キー サーバがオフラインまたはアクセス不可の場合、vTPM とワークロードの暗号化は機能しません。通常、キー サーバがサイトに展開されない Edge 形式の展開では、キー サーバへの接続が失われると、暗号化されたワークロードに不要なダウンタイムが発生する可能性があります。

vSphere 7.0 Update 2 以降では、キー サーバがオフラインまたはアクセス不可の場合でも、暗号化されたワークロードは引き続き機能します。ESXi ホストに TPM がある場合、暗号化キーは再起動後も TPM に保持されます。そのため、ESXi ホストは、再起動しても暗号化キーを要求する必要がありません。また、暗号化キーは TPM に保持されているため、キー サーバに接続できない場合でも、暗号化と復号の操作を続行できます。つまり、キー サーバや信頼機関ホストが使用できなくても、暗号化されたワークロードを「キー サーバなし」で続行できます。同様に、vTPM も、キー サーバに接続できなくても機能します。

キーの永続性と vSphere Native Key Provider

vSphere Native Key Provider を使用する場合、vSphere がキーを生成します。キー サーバは必要ありません。ESXi ホストは Key Derivation Key (KDK) を取得して、他のキーの抽出に使用します。KDK を受け取って他のキーを生成した後、ESXi ホストが vCenter Server にアクセスして暗号化操作を実行する必要はありません。つまり、vSphere Native Key Provider は常に「キー サーバなし」で実行されます。

ESXi ホストの再起動後も、このホストの再起動後に vCenter Server が使用できない場合も、KDK はデフォルトでこのホスト上に存続します。

vSphere Native Key Provider を使用してキーの永続性を有効にできますが、通常は不要です。ESXi ホストは vSphere Native Key Provider に完全にアクセスできるため、キーの永続性を強化する必要はありません。vSphere Native Key Provider でキーの永続性を有効にする使用事例の 1 つは、標準のキー プロバイダ（外部 KMIP サーバ）も構成されている場合です。

キーの永続性の設定方法

キーの永続性を有効または無効にするには、ESXi ホストでのキーの永続性の有効化および無効化を参照してください。