保存データの暗号化を使用する場合、次のガイドラインを考慮してください。
- 暗号化する vSAN データストアと同じデータストアに、KMS サーバをデプロイしないでください。
- 暗号化は、CPU への負荷が高い処理です。AES-NI を使用すると、暗号化のパフォーマンスが大幅に向上します。BIOS で AES-NI を有効にします。
- vSAN ストレッチ クラスタ内の監視ホストは、vSAN 暗号化には関与しません。監視ホストは、vSAN オブジェクトとコンポーネントのサイズや UUID などのメタデータのみの顧客データを保存しません。
注: 監視ホストが別のクラスタで実行されているアプライアンスの場合は、そのホストに保存されているメタデータを暗号化できます。監視ホストを含むクラスタで保存データの暗号化を有効にします。
- コア ダンプに関するポリシーを確立します。コア ダンプは、機密情報を含む場合があるため、暗号化されています。コア ダンプを復号する場合は、このような機密情報を注意して扱ってください。ESXi のコア ダンプには、ESXi ホストのキーと、そこに保存されているデータのキーが含まれる場合があります。
- vm-support バンドルを収集するときは、必ずパスワードを使用します。vSphere Client から、または vm-support コマンドを使用してサポート バンドルを生成するときに、パスワードを指定できます。
パスワードを指定すると、内部キーを使用しているコア ダンプは、パスワードに基づくキーを使用するように再暗号化されます。暗号化されたコア ダンプがサポート バンドルに含まれている場合は、後でこのパスワードを使用して復号できます。暗号化されていないコア ダンプやログは、影響を受けません。
- vm-support バンドルの作成時に指定するパスワードは、vSphere コンポーネント内で維持されません。サポート バンドルのパスワードは、記録しておく必要があります。
- vm-support バンドルを収集するときは、必ずパスワードを使用します。vSphere Client から、または vm-support コマンドを使用してサポート バンドルを生成するときに、パスワードを指定できます。