十分な権限を持つユーザーが暗号化タスクを実行すると、ホスト暗号化モードが自動的に有効になります。ホスト暗号化モードが有効になると、すべてのコア ダンプが暗号化され、サポート担当者が機密情報を見ることができません。ESXi ホストで仮想マシンの暗号化を行う必要がない場合は、暗号化モードを無効にできます。

ESXi ホストの暗号化モードを有効にした後で、無効化が必要になる場合があります。たとえば、ESXi サポート バンドルを(vm-support コマンドを使用して)生成するために、暗号化モードを無効にする必要がある場合が考えられます。ホストに鍵マテリアルがある場合は、ホストの暗号化モードの切り替え([ホスト] > [構成] > [セキュリティ プロファイル] > [ホストの暗号化モードの編集])を使用しても機能しません。

API を使用してホストの暗号化モードを無効にする場合は、CryptoManagerHostDisable API メソッドを呼び出します。

ESXi ホストに定義されている暗号化モード(暗号化の状態)は次のとおりです。

  • pendingIncapable:ホストの暗号化は無効です。したがって、ホストで vSphere 仮想マシンの暗号化操作を実行できません。
  • incapable:ホストは、機密情報を安全に受信できる状態ではありません。
  • prepared:ホストは機密情報を受信する準備ができていますが、ホスト キーがまだ設定されていません。
  • safe:ホストは暗号化が safe(有効)であり、ホスト キーが設定されています。したがって、vSphere 仮想マシンの暗号化操作が可能です。

ホストで CryptoManagerHostDisable を呼び出すと、ホストの暗号化状態は次のように変わります。

  • ホストの元の暗号化状態が incapable か prepared の場合、ホストの暗号化状態は incapable に変わります。
  • ホストの元の暗号化状態が safe の場合、ホストの暗号化状態は pendingIncapable に変わります。
  • ホストの元の暗号化状態が pendingIncapable の場合、ホストの暗号化状態は引き続き pendingIncapable です。

このタスクでは、vCenter Server 管理対象オブジェクト ブラウザ (MOB) を使用してホストの暗号化モードを無効にする方法を示します。API の使用の詳細については、『vSphere Web Services API』ドキュメント (https://developer.vmware.com/apis/968/vsphere) を参照してください。

手順

  1. 管理者として vCenter Server にログインします。
  2. 暗号化モードを無効にする ESXi ホストから、暗号化されているすべての仮想マシンを登録解除します。
  3. vCenter Server 上の MOB にアクセスします。 
    https://vcenter_server/mob
  4. ホストで CryptoManagerHostDisable メソッドを呼び出します。
    1. [コンテンツ名] で、[コンテンツ] をクリックします。
    2. [rootFolder] で、[group-D1 (Datacenters)] をクリックします。
    3. [childEntity] で、適切なデータセンターをクリックします。
    4. [hostFolder] で、適切なホストをクリックします。
    5. [childEntity] で、適切なクラスタをクリックします。
    6. [ホスト] で、適切なホストをクリックします。
    7. [configManager] で、[configManager] をクリックします。
    8. [cryptoManager] で、[CryptoManagerHost-]number をクリックします。
    9. [CryptoManagerHostDisable] をクリックします。
      ホストの暗号化状態が、元の暗号化状態に応じて pendingIncapable または incapable に変わります。
  5. 暗号化モードを無効にする他のホストについて、手順 4 を繰り返します。
  6. ホストを再起動します。

結果

ホストの暗号化モードを無効にすると、再度有効にするまで、暗号化した仮想マシンの追加などの暗号化操作を実行できなくなります。

注: 元の暗号化状態が pendingIncapable だった ESXi ホストで暗号化モードを無効にし、再起動すると、ホストの暗号化状態は引き続き pendingIncapable です。ホストの暗号化モードを再度有効にするには、 vCenter Server の MOB に再度アクセスし、 ConfigureCryptoKey API メソッドを呼び出します。ホストの暗号化状態が pendingIncapable の場合、ホストの暗号化モードを再度有効にするときには元のホスト キー ID を使用します。