vSphere 仮想マシンの暗号化 には、相互運用が可能なデバイスと機能に関していくつかの制限があります。

次の制限事項と注釈は、vSphere 仮想マシンの暗号化を使用することを示しています。vSAN 暗号化の使用法に関する同様の情報については、『VMware vSAN の管理』ドキュメントを参照してください。

特定の暗号化タスクの制限

暗号化された仮想マシンで特定のタスクを実行する場合は、いくつかの制限が適用されます。

  • ほとんどの仮想マシンの暗号化操作では、仮想マシンをパワーオフする必要があります。仮想マシンがパワーオンされていると、暗号化された仮想マシンのクローンを作成して、再暗号化(表層)を実行できます。
    注: 再キー化(表層)操作を実行するには、IDE コントローラで構成された仮想マシンをパワーオフする必要があります。
  • スナップショットがある仮想マシンでは、再暗号化(深層)を実行することはできません。スナップショットがある仮想マシンでは、再暗号化(表層)を実行できます。

仮想 Trusted Platform Module デバイスと vSphere 仮想マシンの暗号化

仮想 Trusted Platform Module (vTPM) は、物理的な Trusted Platform Module 2.0 チップをソフトウェアにしたものです。vTPM は、新しい仮想マシンと既存の仮想マシンのどちらにも追加できます。仮想マシンに vTPM を追加するには、vSphere 環境でキー プロバイダを構成する必要があります。vTPM を構成すると、仮想マシンの「ホーム」ファイルが暗号化されます(メモリ スワップ ファイル、NVRAM ファイルなど)。ディスク ファイルまたは VMDK ファイルは自動的に暗号化されません。仮想マシンのディスクの暗号化は明示的に追加できます。

注意: 仮想マシンのクローンを作成すると、vTPM などの仮想デバイスを含む仮想マシン全体が複製されます。vTPM に保存されている情報(システムの ID を特定するためにソフトウェアが使用できる vTPM のプロパティなど)も複製されます。

vSphere 8.0 以降では、vTPM を含む仮想マシンのクローンを作成するときに、独自のシークレットと ID を取得する新しい空の vTPM から開始することを選択できます。

vSphere 仮想マシンの暗号化とサスペンド状態およびスナップショット

暗号化された仮想マシンをサスペンド状態からレジュームすることや、暗号化されたマシンのメモリ スナップショットに戻すことができます。メモリ スナップショットがあり、サスペンド状態になっている暗号化された仮想マシンを、ESXi ホスト間で移行することができます。

vSphere 仮想マシンの暗号化 と IPv6

vSphere 仮想マシンの暗号化は、ピュア IPv6 モードまたは混在モードで使用できます。キー サーバは、IPv6 アドレスを使用して設定できます。IPv6 アドレスのみを使用して、vCenter Server とキー サーバの両方を構成することができます。

vSphere 仮想マシン暗号化でのクローン作成の制限

すべてのキー プロバイダ タイプで、クローン作成は条件付きでサポートされます。クローンの暗号化キーを変更できます。いくつかのクローン作成機能は、 vSphere 仮想マシンの暗号化と同時に使用することはできません。
  • フル クローンはサポートされます。このクローンには、キーも含めて親の暗号化状態が継承されます。フル クローンを暗号化したり、再暗号化して新しいキーを使用したり、復号化したりできます。

    リンク クローンはサポートされており、このクローンはキーも含めて親の暗号化状態を継承します。リンク クローンを復号化することや、別のキーで再暗号化することはできません。

    注: 他のアプリケーションがリンク クローンをサポートしていることを確認します。たとえば、VMware Horizon ® 7 はフル クローンとインスタント クローンの両方をサポートしていますが、リンク クローンはサポートしていません。
  • インスタント クローンはすべてのキープロバイダータイプでサポートされていますが、、クローン上で暗号化キーを変更することはできません。
  • 暗号化された仮想マシンからリンク クローン仮想マシンを作成できます。リンク クローン仮想マシンには同じキーが含まれています。リンク クローンの暗号化された仮想マシン「ホーム」ファイルを再キー化することはできますが、ディスクを再キー化することはできません。

vSphere Native Key Provider の制限事項

一部の操作は、vSphere Native Key Provider でサポートされません。

  • vSphere Native Key Provider を使用して、スタンドアローン ホスト上の仮想マシンを暗号化することはできません。vSphere Native Key Provider を使用するには、ホストがクラスタ内に配置されている必要があります。
  • ターゲット クラスタに同じ vSphere Native Key Provider が含まれている場合を除き、vSphere Native Key Provider を使用して暗号化された仮想マシンを含むホストを別のクラスタに移動することはできません。(移動されたホスト上の暗号化された仮想マシンは、暗号化キーが存在せず、ターゲット クラスタに同じ vSphere Native Key Provider がない場合にロックされます。)
  • vSphere Native Key Provider によって暗号化された仮想マシンをレガシー ホストに登録することはできません。これは、vSphere Native Key Provider がサポートされていないためです。
  • ホストをクラスタ内に配置するための要件が原因で、vSphere Native Key Provider によって暗号化された仮想マシンをスタンドアローン ホストに登録することはできません。

vSphere 仮想マシンの暗号化を使用したディスク構成はサポートされていません

仮想マシン ディスクの構成のうち、一部の種類は vSphere 仮想マシンの暗号化ではサポートされません。

  • RDM(Raw デバイス マッピング)。ただし、vSphere Virtual Volumes (vVols) はサポートされます。
  • マルチライターまたは共有ディスク(MSCS、WSFC、または Oracle RAC)。暗号化された仮想マシンの「ホーム」ファイルは、マルチライター ディスクでサポートされています。暗号化された仮想ディスクは、マルチライター ディスクではサポートされていません。暗号化された仮想ディスクを含む仮想マシンの [設定の編集] 画面でマルチライターを選択する際に、[OK] ボタンが無効になります。

vSphere 仮想マシンの暗号化に関するその他の制限事項

vSphere 仮想マシンの暗号化で動作しないその他の機能は、以下のとおりです。

  • vSphere ESXi Dump Collector
  • コンテンツ ライブラリ
    • コンテンツ ライブラリでは、OVF テンプレート タイプと仮想マシン テンプレート タイプの 2 種類のテンプレートがサポートされます。暗号化された仮想マシンを OVF テンプレート タイプにエクスポートすることはできません。OVF Tool は暗号化された仮想マシンをサポートしていません。仮想マシン テンプレート タイプを使用して、暗号化された仮想マシン テンプレートを作成できます。vSphere 8.0 以降、ovftool コマンドには、OVF 記述子ファイルに vTPM プレースホルダを追加するオプションが含まれています。このようなテンプレートから仮想マシンをデプロイする場合、vCenter Server はターゲット仮想マシンに一意のシークレットを使用して vTPM を作成します。『vSphere 仮想マシン管理ガイド』 ドキュメントを参照してください。
  • 暗号化された仮想ディスクをバックアップするソフトウェアは、VMware vSphere Storage API - Data Protection (VADP) を使用して、ホット アド モードまたは SSL が有効な NBD モードでディスクをバックアップする必要があります。ただし、仮想ディスクのバックアップに VADP を使用するすべてのバックアップ ソリューションがサポートされているわけではありません。詳細については、バックアップ ベンダーにお問い合わせください。
    • 暗号化された仮想ディスクのバックアップでは、VADP SAN 転送モード ソリューションはサポートされていません。
    • VADP ホット アド ソリューションは、暗号化された仮想ディスクでサポートされています。バックアップ ソフトウェアは、ホット アド バックアップ ワークフローの一部として使用されるプロキシ仮想マシンの暗号化をサポートしている必要があります。ベンダーのアプリケーションには、暗号化操作.直接アクセス権限権限が必要です。
    • 暗号化された仮想ディスクのバックアップでは、NBD-SSL 転送モードを使用するバックアップ ソリューションがサポートされています。ベンダーのアプリケーションには、Cryptographic Operations.Direct Access 権限が必要です。
  • 暗号化された仮想マシンからの出力をシリアル ポートまたはパラレル ポートに送信することはできません。構成が成功したように見えても、出力はファイルに送信されます。
  • vSphere 仮想マシンの暗号化は VMware Cloud on AWS ではサポートされていません。『VMware Cloud on AWS データセンターの管理』ドキュメントを参照してください。