後から問題が発生しないように、仮想マシンの暗号化に関する注意事項を確認してください。
仮想マシンの暗号化で使用できないデバイスおよび機能については、仮想マシンの暗号化の相互運用性を参照してください。
暗号化された仮想マシンの制限事項
仮想マシンの暗号化戦略を立てるときは、次の注意点を考慮してください。
- 暗号化された仮想マシンのクローンを作成するとき、または Storage vMotion 操作を実行するときに、ディスク形式を変更することができます。しかし、ディスク形式の変換は成功しないことがあります。たとえば、仮想マシンのクローンを作成するときにディスク形式を lazy-zeroed シック フォーマットからシン フォーマットに変更しても、仮想マシンのディスクは lazy-zeroed シック フォーマットのままです。
- 仮想マシンからディスクを切り離すと、仮想ディスクのストレージ ポリシー情報は保持されません。
- 仮想ディスクが暗号化されている場合は、ストレージ ポリシーを [仮想マシン暗号化ポリシー]、または暗号化を含むストレージ ポリシーに明示的に設定する必要があります。
- 仮想ディスクが暗号化されていない場合は、そのディスクを仮想マシンに追加するときにストレージ ポリシーを変更できます。
詳細については、仮想ディスクの暗号化を参照してください。
- コア ダンプは、仮想マシンを別のクラスタに移動する前に復号化してください。
vCenter Server にはキー サーバ キーは保存されません。キー ID が記録されるのみです。そのため、vCenter Server に ESXi ホスト キーが永続的に保持されることはありません。ただし、vSphere 7.0 Update 2 以降では、キー サーバへの接続が切断された場合でも、暗号化されたデバイスは機能します。ESXi ホストでの vSphere キーの永続性を参照してください。
一定の条件のとき、たとえば ESXi ホストを別のクラスタに移動してホストを再起動した場合は、そのホストには vCenter Server によって新しいホスト キーが割り当てられます。この新しいホスト キーで既存のコア ダンプを復号化することはできません。
- 暗号化された仮想マシンでは、OVF Export はサポートされません。
- VMware Host Client を使用して暗号化された仮想マシンを登録することはサポートされていません。
仮想マシンのロック状態
この仮想マシンのキー、または少なくとも 1 つの仮想ディスクのキーが失われると、仮想マシンはロック状態になります。ロック状態の間、仮想マシンの操作は実行できません。
- 仮想マシンとそのディスクの両方を vSphere Client から暗号化する場合は、両方に同じキーを使用する必要があります。
- API を使用して暗号化を実行する場合は、仮想マシンとディスクに異なる暗号化キーを使用できます。その場合、仮想マシンをパワーオンしようとしたときにディスク キーのいずれかがないと、パワーオン操作は失敗します。仮想ディスクを削除すると、仮想マシンをパワーオンできます。
トラブルシューティングのヒントについては、暗号化キーが使用できない問題の解決を参照してください。