vSphere 信頼機関のアーキテクチャからは、いくつかの追加的な推奨事項が発生します。vSphere 信頼機関の利用を検討する際には、相互運用性の制約を考慮してください。

相互運用性

ESXiのバージョンについては、証明サービスは下位および上位互換性があります。たとえば、ESXi7.0 を実行している ESXi ホストのクラスタを vSphere 信頼機関クラスタ内に保持しながら、信頼済みクラスタ内の ESXi ホストにアップグレードまたはパッチを適用して新しいESXi バージョンにすることができます。同様に、信頼済みクラスタ内の ESXiホストは現在のバージョンに維持したまま、信頼機関クラスタ内の ESXi ホストにアップグレードまたはパッチを適用できます。

1 つのクラスタが信頼機関クラスタと信頼済みクラスタの両方として機能することはできません。そのような設定はサポートされていません。

信頼済みクラスタ設定の制限

1 つの信頼済みクラスタで設定できる信頼機関クラスタは 1 つのみです。したがって、信頼済みクラスタが複数の信頼機関クラスタを参照するように設定することはできません。

クローン作成

クローン作成はサポートされていますが、クローン上で暗号化キーを変更することはできません。これは、クローン作成時にキーを変更できる標準の暗号化とは対照的です。次の操作は、仮想マシンのクローン作成時に vSphere 信頼機関によってサポートされません。

  • 暗号化されていない仮想マシンから暗号化された仮想マシンへのクローン作成
  • 暗号化された仮想マシンからのクローン作成と暗号化キーの変更

インスタント クローン

インスタント クローンはvSphere 信頼機関でサポートされていますが、クローン上で暗号化キーを変更することはできません。この動作は、標準の仮想マシン暗号化と同じです。

vMotion および vCenter Server 間 vMotion

vSphere 信頼機関は、ESXi ホスト間での vMotion を全面的にサポートします。

vCenter Server 間 vMotion はサポートされますが、次の制限があります。

  1. 必要な信頼済みサービスが移行先ホスト用に設定されている必要があります。また、移行先ホストは証明を受けている必要があります。
  2. 移行時に暗号化を変更することはできません。たとえば、仮想マシンを新しいストレージに移行するときに、ディスクを暗号化することはできません。

vCenter Server 間 vMotion を実行するとき、vCenter Serverは、信頼済みキー プロバイダが移行先ホストで使用可能であること、およびホストからアクセスできるかどうかを確認します。

その他。

vSphere 信頼機関は、以下をサポートします。

  • vCenter High Availability (vCenter HA)
  • VMware vSphere High Availability
  • DRS
  • DPM
  • SRM。以下のことに注意が必要です。
    • リカバリ側で同じ vSphere 信頼機関サービス構成が使用可能な場合は、アレイ ベースのレプリケーションを伴う SRM がサポートされます。
    • SPPG
  • VADP
    • サポートは、標準の暗号化の場合と同じです。ホットアド モードと NFC モードはサポートされますが、SAN モードはサポートされません。バックアップは復号化されます。VADP パートナーには、元の仮想マシンと同じ暗号化キーを使用して、バックアップした仮想マシンをリカバリするオプションがあります。
  • vSAN
    • 仮想マシンの暗号化は、vSAN 上で全面的にサポートされます。
  • OVF
    • 暗号化された仮想マシンを OVF にエクスポートすることはできません。ただし、OVF からインポートするときに仮想マシンを暗号化することはできます。
  • VVol

現在、vSphere 信頼機関は以下をサポートしていません。

  • vSAN 暗号化
  • 最初のクラス ディスク (FCD) 暗号化
  • vSphere Replication
  • vSphere ホスト プロファイル