vSphere 信頼機関 のアーキテクチャからは、いくつかの追加的な推奨事項が発生します。vSphere 信頼機関 の利用を検討する際には、相互運用性の制約を考慮してください。
信頼済みインフラストラクチャの相互運用性
ESXi のバージョンについては、証明サービスは下位および上位互換性があります。たとえば、ESXi 7.0 を実行している ESXi ホストのクラスタを vSphere 信頼機関クラスタ内に保持しながら、信頼済みクラスタ内の ESXi ホストにアップグレードまたはパッチを適用して新しい ESXi バージョンにすることができます。同様に、信頼済みクラスタ内の ESXi ホストは現在のバージョンに維持したまま、信頼機関クラスタ内の ESXi ホストにアップグレードまたはパッチを適用できます。
1 つのクラスタが信頼機関クラスタと信頼済みクラスタの両方として機能することはできません。そのような設定はサポートされていません。
信頼済みクラスタ設定の制限
ワークロード vCenter Server ごとに信頼機関クラスタを 1 つのみ構成できます。信頼済みクラスタが複数の信頼機関クラスタを参照するように構成することはできません。
vSphere 信頼機関 でサポートされている vSphere の機能
vSphere 信頼機関 は、以下をサポートします。
- vCenter High Availability (vCenter HA)
- VMware vSphere High Availability
- DRS
- DPM
- SRM。以下のことに注意が必要です。
- リカバリ側で同じ vSphere 信頼機関 サービス構成が使用可能な場合は、アレイ ベースのレプリケーションを伴う SRM がサポートされます。
- SPPG
- VADP
- サポートは、標準の暗号化の場合と同じです。ホットアド モードと NFC モードはサポートされますが、SAN モードはサポートされません。バックアップは復号化されます。VADP パートナーには、元の仮想マシンと同じ暗号化キーを使用して、バックアップした仮想マシンをリカバリするオプションがあります。
- vSAN
- 仮想マシンの暗号化は、vSAN 上で全面的にサポートされます。
- OVF
- 暗号化された仮想マシンを OVF にエクスポートすることはできません。ただし、OVF からインポートするときに仮想マシンを暗号化することはできます。
- vVol
vSphere 信頼機関 でサポートされていない vSphere の機能
現在、vSphere 信頼機関 は以下をサポートしていません。
- vSAN による保存データの暗号化
- 最初のクラス ディスク (FCD) 暗号化
- vSphere Replication
- vSphere ホスト プロファイル