暗号化された vSphere vMotion では、vSphere vMotion で転送されるデータの機密性、整合性、信頼性が確保されます。vSphere では、vCenter Server インスタンス間で、暗号化されていない仮想マシンおよび暗号化されている仮想マシンを暗号化された vMotion で移行できます。
暗号化された仮想マシンを vSphere vMotion で移行する場合、常に暗号化が使用されます。暗号化されていない仮想マシンについては、暗号化された vSphere vMotion のいずれかのオプションを選択できます。
暗号化された vSphere vMotion で暗号化される内容
- ホスト内でディスク データを転送する場合、つまりホストを変更せずにデータストアのみを変更する場合、転送は暗号化されません。
- ホスト間でディスク データが転送され、暗号化された vMotion が使用される場合、転送は暗号化されます。暗号化された vMotion が使用されない場合、転送は暗号化されません。
暗号化された仮想マシンを vSphere vMotion で移行する場合は、常に暗号化された vSphere vMotion が使用されます。暗号化された仮想マシンの場合、暗号化された vSphere vMotion を無効にすることはできません。
暗号化されていない仮想マシンの暗号化された vSphere vMotion の状態
仮想マシンを暗号化するときに、暗号化された vSphere vMotion の設定が仮想マシンに記録されます。後で仮想マシンの暗号化を無効にした場合、暗号化された vMotion の設定が [必須] のままになります。これは設定を明示的に変更するまで変わりません。この設定は [設定の編集] を使用して変更することができます。
暗号化されていない仮想マシンに対して、暗号化された vSphere vMotion を有効、無効にする方法については、『vCenter Server およびホストの管理』ドキュメントを参照してください。
vCenter Server インスタンス間での暗号化された仮想マシンの移行またはクローン作成
vSphere vMotion は、vCenter Server インスタンス間での暗号化された仮想マシンの移行とクローン作成をサポートします。
暗号化された仮想マシンを vCenter Server インスタンス間で移行またはクローン作成する場合、移行元と移行先の vCenter Server インスタンスが、仮想マシンの暗号化に使用されたキー プロバイダを共有するように設定されている必要があります。また、キー プロバイダ名が、移行元と移行先の両方の vCenter Server インスタンスで同じで、次の特性を持っている必要があります。
- 標準キー プロバイダ:同じキー サーバ(または複数のキー サーバ)がキー プロバイダに含まれている必要があります。
- 信頼済みキー プロバイダ:同じ vSphere 信頼機関 サービスをターゲット ホストで構成する必要があります。
- vSphere Native Key Provider: 同じ KDK が必要です。
注: ソース ホストがクラスタ内に存在するかどうかに関係なく、vSphere Native Key Provider を使用して、暗号化された仮想マシンをスタンドアローン ホストにクローン作成または移行することはできません。
移行先の vCenter Server では、移行先の ESXi ホストで暗号化モードが設定されていることを確認し、ホストが「セーフ」モードで暗号化されるようにします。
vSphere vMotion を使用して vCenter Server のインスタンス間で暗号化された仮想マシンを移行またはクローン作成する場合は、次の権限が必要です。
- 移行:仮想マシンでの
- クローン作成:仮想マシンでの
また、移行先の vCenter Server での 権限も必要です。移行先の ESXi ホストが「セーフ」モードでない場合は、移行先の vCenter Server で 権限も必要です。
暗号化されていない、または暗号化されている仮想マシンを同じ vCenter Server で、または vCenter Server インスタンス間で移行する場合、特定のタスクが許可されません。
- 仮想マシン ストレージ ポリシーを変更することはできません。
- キーの変更は実行できません。
vCenter Server インスタンス間での暗号化された仮想マシンを移行またはクローン作成するための最小要件
標準キー プロバイダによって暗号化された仮想マシンを vSphere vMotion を使用して vCenter Server インスタンス間で移行またはクローン作成するための最小のバージョン要件は次のとおりです。
- 移行元と移行先の vCenter Server インスタンスの両方がバージョン 7.0 以降である必要があります。
- 移行元と移行先の ESXi ホストの両方がバージョン 6.7 以降である必要があります。
信頼済みキー プロバイダによって暗号化された仮想マシンを vSphere vMotion を使用して vCenter Server インスタンス間で移行またはクローン作成するための最小のバージョン要件は次のとおりです。
- vSphere 信頼機関 サービスが移行先ホスト用に設定されている必要があります。また、移行先ホストは証明を受けている必要があります。
- 移行時に暗号化を変更することはできません。たとえば、仮想マシンを新しいストレージに移行するときに、暗号化されていないディスクを暗号化することはできません。
- 標準の暗号化された仮想マシンを信頼済みホストに移行できます。キー プロバイダ名は、移行元と移行先の両方の vCenter Server インスタンスで同じである必要があります。
- vSphere 信頼機関 で暗号化された仮想マシンを、信頼されていないホストに移行することはできません。
信頼済みキー プロバイダの vMotion および vCenter Server 間 vMotion
信頼済みキー プロバイダは、ESXi ホスト間での vMotion を全面的にサポートします。
vCenter Server 間 vMotion はサポートされますが、次の制限があります。
- 必要な信頼済みサービスが移行先ホスト用に設定されている必要があります。また、移行先ホストは証明を受けている必要があります。
- 移行時に暗号化を変更することはできません。たとえば、仮想マシンを新しいストレージに移行するときに、ディスクを暗号化することはできません。
vCenter Server 間 vMotion を実行するとき、vCenter Server は、信頼済みキー プロバイダが移行先ホストで使用可能であること、およびホストからアクセスできるかどうかを確認します。
vSphere Native Key Provider の vMotion および vCenter Server 間 vMotion
vSphere Native Key Provider は、ESXi ホスト間での vMotion および暗号化された vMotion をサポートします。vCenter Server 間 vMotion は、vSphere Native Key Provider がターゲット ホスト上で構成されている場合にサポートされます。