vSphere 7.0 以降では、vSphere 暗号化テクノロジーを使用して、パーシステント ボリュームをバッキングする FCD 仮想ディスクを保護することができます。

vSphere 環境で暗号化を使用するには、いくつかの準備作業が必要です。これには、vCenter Server とキー プロバイダ間の信頼できる接続の設定が含まれます。これにより、vCenter Server は必要に応じてキー プロバイダからキーを取得できるようになります。vSphere 暗号化プロセスに参加するコンポーネントの詳細については、『vSphere のセキュリティ』ドキュメントの「vSphere 仮想マシンの暗号化のコンポーネント」を参照してください。

手順

  1. vSphere 環境でキー プロバイダを設定します。
    詳細については、「 キー管理サーバ クラスタの設定」を参照してください。
  2. Kubernetes クラスタのすべてのノード仮想マシンを暗号化します。
    vSphere Client を使用して、この手順を実行します。
    1. ノード仮想マシンに移動します。
    2. 右クリック メニューから、[仮想マシン ポリシー] > [仮想マシン ストレージ ポリシーの編集] の順に選択します。
    3. [仮想マシン ストレージ ポリシー] ドロップダウン メニューから、[仮想マシン暗号化ポリシー] を選択し、[OK] をクリックします。
      ノード仮想マシンの暗号化プロセスを迅速化するために、仮想マシン ホームのみを暗号化することができます。
  3. vSphere CSI 設定を使用して、暗号化されたパーシステント ボリュームを Kubernetes クラスタに作成します。
    1. 仮想マシン暗号化ストレージ ポリシーを参照する StorageClass を作成します。
      例として、次の YAML ファイルを使用します。
      kind: StorageClass
      apiVersion: storage.k8s.io/v1
      metadata:
        name: encryption
      provisioner: csi.vsphere.vmware.com
      parameters:
        storagePolicyName: "VM Encryption Policy"
        datastore: vsanDatastore
        
    2. PersistentVolumeClaim を使用して、パーシステント ボリュームをプロビジョニングします。
      PersistentVolumeClaim では、 storageClassName フィールドに暗号化ストレージ クラスの名前を含める必要があります。