暗号化された仮想マシンのクローンは、キーを変更しない限り同じキーで暗号化されます。キーを変更するには、vSphere Client、PowerCLI、または API を使用します。PowerCLI または API を使用すると、1 回の手順で暗号化された仮想マシンのクローンを作成してキーを変更できます。

クローン作成時には次の操作を実行できます。

  • 暗号化されていない仮想マシンまたはテンプレート仮想マシンから、暗号化された仮想マシンを作成する。
  • 暗号化された仮想マシンまたはテンプレート仮想マシンから、復号化された仮想マシンを作成する。
  • ソース仮想マシンのキーとは異なるキーを使用して、ターゲット仮想マシンを再暗号化する。
  • vSphere 8.0 以降では、vTPM を使用する仮想マシンについて [置き換え] オプションを選択すると、新しい空の vTPM が生成され、独自のシークレットと ID が取得されます。
注: vSphere 8.0 以降には vpxd.clone.tpmProvisionPolicy という詳細設定が含まれていて、vTPM のデフォルトのクローン作成動作を「置き換え」に設定することができます。

暗号化された仮想マシンからインスタント クローン仮想マシンを作成できます。この場合、インスタント クローンはソース仮想マシンと同じキーを共有することに注意します。ソース仮想マシンでもインスタント クローン仮想マシンでも、キーを再暗号化することはできません。

暗号化されたマシンのクローンを API を使用して作成するには、『vSphere Web Services SDK プログラミング ガイド』を参照してください。

前提条件

  • キー プロバイダを構成して、有効にする必要があります。
  • 暗号化ストレージ ポリシーを作成するか、バンドルされているサンプルの仮想マシン暗号化ポリシーを使用します。
  • 必要な権限(すべてのキー プロバイダに適用):
    • 暗号化操作.クローン作成
    • 暗号化操作.暗号化
    • 暗号化操作.復号化
    • 暗号化操作.再暗号化
    • ホストの暗号化モードが有効でない場合は、暗号化操作.ホストの登録権限も必要です。

手順

  1. vSphere Client インベントリで、仮想マシンに移動して参照します。
  2. 暗号化されたマシンのクローンを作成するには、仮想マシンを右クリックし、[クローン] > [仮想マシンにクローン作成] を選択してから、プロンプトの指示に従います。
    1. [名前とフォルダの選択] 画面で、名前と、クローンが作成される場所を指定します。
    2. [コンピューティング リソースの選択] 画面で、権限の対象になるオブジェクトを指定します。
    3. (オプション) クローンが作成された vTPM のキーを変更します。
      図 1. TPM プロビジョニング ポリシーの選択
      vTPM を含む仮想マシンのクローンを作成するときの TPM プロビジョニング ポリシーの選択を示すスクリーンショット。
      仮想マシンのクローンを作成すると、vTPM およびそのシークレットを含む仮想マシン全体が複製され、システムの ID の特定に使用できるようになります。vTPM のシークレットを変更するには、 [TPM プロビジョニング ポリシー][置き換え] を選択します。
      注: vTPM のシークレットを置き換えると、ワークロード関連のキーを含むすべてのキーが置き換えられます。ベスト プラクティスとして、キーを置き換える前に、ワークロードで vTPM が使用されなくなったことを確認します。ワークロードで vTPM が使用されている場合、クローン作成された仮想マシンのワークロードが正しく機能しなくなる可能性があります。
    4. [ストレージの選択] 画面で、データストアを選択します。クローン操作の過程でストレージ ポリシーを変更できます。たとえば、暗号化ポリシーを使用している状態から非暗号化ポリシーに変更すると、ディスクが復号化されます。
    5. [クローン オプションの選択] 画面で、『vSphere の仮想マシン管理』ドキュメントの説明に従ってクローン オプションを選択します。
    6. [設定の確認] 画面で情報を確認し、[完了] をクリックします。
  3. (オプション) クローンが作成された仮想マシンのキーを変更します。
    デフォルトでは、親と同じキーでクローンが作成された仮想マシンが作成されます。ベスト プラクティスは、複数の仮想マシンが同一のキーを持つことがないよう、クローン作成された仮想マシンのキーを変更することです。
    1. 表層と深層のどちらの再暗号化を行うかを決定します。
      異なる DEK と KEK を使用するには、クローンが作成された仮想マシンの再暗号化(深層)を実行します。異なる KEK を使用するには、クローンが作成された仮想マシンの再暗号化(表層)を実行します。再暗号化(深層)を行うには、仮想マシンをパワーオフする必要があります。再暗号化(表層)は、仮想マシンのスナップショットが作成済みであれば仮想マシンがパワーオン状態でも実行できます。スナップショットが作成済みの暗号化された仮想マシンの再暗号化(表層)は、単一のスナップショット分岐(ディスク チェーン)に対してのみ許可されます。複数のスナップショット分岐はサポートされていません。チェーン内のすべてのリンクを新しい KEK で更新する前に再暗号化(表層)が失敗した場合でも、古い KEK と新しい KEK があれば暗号化された仮想マシンにアクセスできます。
    2. API を使用して、クローンの再暗号化を実行します。vSphere Web Services SDK プログラミング ガイド を参照してください。