十分な権限を持つユーザーが暗号化タスクを実行すると、ホスト暗号化モードが自動的に有効になります。ホスト暗号化モードが有効になると、すべてのコア ダンプが暗号化され、サポート担当者が機密情報を見ることができません。ESXi ホストで仮想マシンの暗号化を行う必要がない場合は、暗号化モードを無効にできます。
ESXi ホストの暗号化モードを有効にした後で、無効化が必要になる場合があります。たとえば、ESXi サポート バンドルを(vm-support コマンドを使用して)生成するために、暗号化モードを無効にする必要がある場合が考えられます。ホストに鍵マテリアルがある場合は、ホストの暗号化モードの切り替え( )を使用しても機能しません。
API を使用してホストの暗号化モードを無効にする場合は、CryptoManagerHostDisable API メソッドを呼び出します。
ESXi ホストに定義されている暗号化モード(暗号化の状態)は次のとおりです。
- pendingIncapable:ホストの暗号化は無効です。したがって、ホストで vSphere 仮想マシンの暗号化操作を実行できません。
- incapable:ホストは、機密情報を安全に受信できる状態ではありません。
- prepared:ホストは機密情報を受信する準備ができていますが、ホスト キーがまだ設定されていません。
- safe:ホストは暗号化が safe(有効)であり、ホスト キーが設定されています。したがって、vSphere 仮想マシンの暗号化操作が可能です。
ホストで CryptoManagerHostDisable を呼び出すと、ホストの暗号化状態は次のように変わります。
- ホストの元の暗号化状態が incapable か prepared の場合、ホストの暗号化状態は incapable に変わります。
- ホストの元の暗号化状態が safe の場合、ホストの暗号化状態は pendingIncapable に変わります。
- ホストの元の暗号化状態が pendingIncapable の場合、ホストの暗号化状態は引き続き pendingIncapable です。
このタスクでは、vCenter Server 管理対象オブジェクト ブラウザ (MOB) を使用してホストの暗号化モードを無効にする方法を示します。API の使用の詳細については、『vSphere Web Services API』ドキュメント (https://developer.vmware.com/apis/968/vsphere) を参照してください。
手順
結果
ホストの暗号化モードを無効にすると、再度有効にするまで、暗号化した仮想マシンの追加などの暗号化操作を実行できなくなります。
注: 元の暗号化状態が pendingIncapable だった
ESXi ホストで暗号化モードを無効にし、再起動すると、ホストの暗号化状態は引き続き pendingIncapable です。ホストの暗号化モードを再度有効にするには、
vCenter Server の MOB に再度アクセスし、
ConfigureCryptoKey API メソッドを呼び出します。ホストの暗号化状態が pendingIncapable の場合、ホストの暗号化モードを再度有効にするときには元のホスト キー ID を使用します。