vSphere 7.0 Update 2 以降では、キー サーバが一時的にオフラインまたは使用不可になった場合でも、暗号化された仮想マシンと仮想 TPM は必要に応じて機能し続けることができます。ESXi ホストは、暗号化キーを保持して、暗号化および vTPM の操作を続行できます。
vSphere 7.0 Update 2 より前のバージョンでは、暗号化された仮想マシンと vTPM が機能するように、キー サーバを常に使用できるようにする必要があります。vSphere 7.0 Update 2 以降では、キー サーバへの接続が切断された場合でも、暗号化されたデバイスは機能します。
vSphere 7.0 Update 3 以降では、キー プロバイダへの接続が切断された場合でも、暗号化された vSAN クラスタは機能します。
ESXi ホストでのキーの永続性の仕組み
標準のキー プロバイダを使用する場合、ESXi ホストは vCenter Server を使用して暗号化キーを管理します。信頼済みキー プロバイダを使用する場合、ESXi ホストは信頼機関ホストのキーを直接使用します。vCenter Server は使用されません。vSphere Native Key Provider によるキーの処理方法は異なります。詳細については、次のセクションを参照してください。
キー プロバイダのタイプに関係なく、ESXi ホストは最初にキーを取得し、キー キャッシュに保持します。ESXi ホストを再起動すると、そのキー キャッシュは失われます。その場合、ESXi ホストは、キー サーバ(標準のキー プロバイダ)または信頼機関ホスト(信頼済みキー プロバイダ)からのキーの取得を再度要求します。ESXi ホストがキーを取得する際に、キー サーバがオフラインまたはアクセス不可の場合、vTPM とワークロードの暗号化は機能しません。通常、キー サーバがサイトに展開されない Edge 形式の展開では、キー サーバへの接続が失われると、暗号化されたワークロードに不要なダウンタイムが発生する可能性があります。
vSphere 7.0 Update 2 以降では、キー サーバがオフラインまたはアクセス不可の場合でも、暗号化されたワークロードは引き続き機能します。ESXi ホストに TPM がある場合、暗号化キーは再起動後も TPM に保持されます。そのため、ESXi ホストは、再起動しても暗号化キーを要求する必要がありません。また、暗号化キーは TPM に保持されているため、キー サーバに接続できない場合でも、暗号化と復号の操作を続行できます。つまり、キー プロバイダに応じて、キー サーバや信頼機関ホストが使用できなくても、暗号化されたワークロードを「キー サーバなし」で続行できます。同様に、vTPM も、キー サーバに接続できなくても機能します。
キーの永続性と vSphere Native Key Provider
vSphere Native Key Provider を使用する場合、vSphere が暗号化キーを生成します。キー サーバは必要ありません。ESXi ホストは、Key Derivation Key (KDK) を取得して、他のキーの抽出に使用します。KDK を受け取って他のキーを生成した後、ESXi ホストが vCenter Server にアクセスして暗号化操作を実行する必要はありません。つまり、vSphere Native Key Provider は常に「キー サーバなし」で実行されます。
ESXi ホストの再起動後も、このホストの再起動後に vCenter Server が使用できない場合も、KDK はデフォルトでこのホスト上に存続します。
vSphere Native Key Provider を使用してキーの永続性を有効にすることはできますが、通常は不要です。ESXi ホストは vSphere Native Key Provider に完全にアクセスできるため、冗長なキーの永続性が追加されます。vSphere Native Key Provider を使用してキーの永続性を有効にする事例の 1 つとして、標準のキー プロバイダ(外部 KMIP サーバ)も構成されている場合が挙げられます。
キーの永続性の設定方法
キーの永続性を有効または無効にするには、ESXi ホストでのキーの永続性の有効化および無効化を参照してください。