フォールトトレランスログ記録トラフィックのセキュリティ強化

VMware Fault Tolerance (FT) は、プライマリ仮想マシンで発生する入力とイベントを取得し、それを別のホストで稼動しているセカンダリ仮想マシンに送信します。

プライマリ仮想マシンとセカンダリ仮想マシンの間のこのログ記録トラフィックは暗号化されず、このトラフィックにはゲストネットワーク、ストレージ I/O データ、およびゲスト OS のメモリの内容が含まれます。このトラフィックには、パスワードなどの機密情報がプレーンテキストで含まれる可能性があります。このようなデータの漏洩を回避するため、このネットワークは確実にセキュリティ保護し、特に中間者攻撃が防止されるように注意してください。たとえば、FT ログ記録トラフィック用のプライベートネットワークを使用します。FT ログ記録トラフィックを暗号化することもできます。

Fault Tolerance 暗号化の有効化

Fault Tolerance ログトラフィックを暗号化できます。

vSphere Fault Tolerance はプライマリ仮想マシンとセカンダリ仮想マシン間のチェックを頻繁に実行するため、最後に成功したチェックポイントからセカンダリ仮想マシンをすばやくレジュームできます。チェックポイントには、前のチェックポイント以降に変更された仮想マシンの状態が含まれます。Fault Tolerance ログトラフィックを暗号化できます。

Fault Tolerance を有効にした場合、FT 暗号化はデフォルトで [任意] に設定されます。つまり、プライマリホストとセカンダリホストの両方で暗号化が可能な場合にのみ、暗号化が有効になります。FT 暗号化モードを手動で変更する必要がある場合は、次の手順を実行します。

注： Fault Tolerance は、vSphere 7.0 Update 2 以降での vSphere 仮想マシンの暗号化をサポートします。ゲスト内およびアレイベースの暗号化は、仮想マシンの暗号化に依存したり、仮想マシンの暗号化に干渉したりすることはありません。複数の暗号化レイヤーを使用すると、コンピューティングリソースが追加で使用され、仮想マシンのパフォーマンスに影響を与える可能性があります。この影響は、ハードウェアのほか、I/O の量とタイプによって異なりますが、全体的なパフォーマンスへの影響は多くのワークロードで無視できます。重複排除、圧縮、レプリケーションなどのバックエンドストレージ機能の有効性と互換性も仮想マシンの暗号化の影響を受けることがあります。

前提条件

FT 暗号化には SMP-FT が必須です。レガシー FT（記録/再生 FT）での暗号化はサポートされていません。

手順

仮想マシンを選択し、[設定の編集] を選択します。
[仮想マシンオプション] で [暗号化された Fault Tolerance] ドロップダウンメニューを選択します。

以下のいずれかのオプションを選択します。

オプション	説明
無効	暗号化された Fault Tolerance のログを有効にしないでください。
任意	暗号化は、双方が対応している場合にのみ有効にします。Fault Tolerance 仮想マシンは、暗号化された Fault Tolerance ログをサポートしていない ESXi ホストに移動できます。
必須	暗号化された FT ログをサポートするホストの中から、Fault Tolerance のプライマリホストとセカンダリホストを選択します。

注：仮想マシンの暗号化が有効になっている場合、FT 暗号化モードはデフォルトで [必須] に設定され、変更できません。

FT 暗号化モードが [必須] に設定されている場合は、次のようになります。

FT が有効な場合、FT 暗号化がサポートされているホストのみが、FT セカンダリを配置するホストのリストに表示されます。
FT フェイルオーバーは、FT 暗号化がサポートされているホストでのみ実行されます。

[OK] をクリックします。