暗号化された vSphere vMotion では、vSphere vMotion で転送されるデータの機密性、整合性、信頼性が確保されます。vSphere では、vCenter Server インスタンス間で、暗号化されていない仮想マシンおよび暗号化されている仮想マシンを暗号化された vMotion で移行できます。

暗号化された仮想マシンを vSphere vMotion で移行する場合、常に暗号化が使用されます。暗号化されていない仮想マシンについては、暗号化された vSphere vMotion のいずれかのオプションを選択できます。

暗号化された vSphere vMotion で暗号化される内容

暗号化されたディスクの場合、データはいかなる場合でも暗号化された状態で転送されます。暗号化されていないディスクの場合は、次のようになります。
  • ホスト内でディスク データを転送する場合、つまりホストを変更せずにデータストアのみを変更する場合、転送は暗号化されません。
  • ホスト間でディスク データが転送され、暗号化された vMotion が使用される場合、転送は暗号化されます。暗号化された vMotion が使用されない場合、転送は暗号化されません。

暗号化された仮想マシンを vSphere vMotion で移行する場合は、常に暗号化された vSphere vMotion が使用されます。暗号化された仮想マシンの場合、暗号化された vSphere vMotion を無効にすることはできません。

暗号化されていない仮想マシンの暗号化された vSphere vMotion の状態

暗号化されていない仮想マシンの場合、暗号化された vSphere vMotion を次のいずれかの状態に設定することができます。デフォルトは [任意] です。
無効
暗号化された vSphere vMotion は使用されません。
任意
暗号化された vSphere vMotion は、ソースとターゲットの両方のホストでサポートされる場合に使用されます。暗号化された vSphere vMotion は、バージョン 6.5 以降の ESXi ホストでのみサポートされます。
必須
暗号化された vSphere vMotion のみ許可されます。暗号化された vSphere vMotion が、移行元と移行先の両方のホストでサポートされていなければ、vSphere vMotion による移行は許可されません。

仮想マシンを暗号化するときに、暗号化された vSphere vMotion の設定が仮想マシンに記録されます。後で仮想マシンの暗号化を無効にした場合、暗号化された vMotion の設定が [必須] のままになります。これは設定を明示的に変更するまで変わりません。この設定は [設定の編集] を使用して変更することができます。

注: 現在、 vCenter Server インスタンス間で暗号化された仮想マシンを移行するか、クローンを作成するには、vSphere API を使用する必要があります。『 vSphere Web Services SDK プログラミング ガイド』および『 vSphere Web Services API リファレンス』を参照してください。

vCenter Server インスタンス間での暗号化された仮想マシンの移行またはクローン作成

vSphere vMotion は、vCenter Server インスタンス間での暗号化された仮想マシンの移行とクローン作成をサポートします。

暗号化された仮想マシンを vCenter Server インスタンス間で移行またはクローン作成する場合、移行元と移行先の vCenter Server インスタンスが、仮想マシンの暗号化に使用されたキー プロバイダを共有するように設定されている必要があります。また、キー プロバイダ名が、移行元と移行先の両方の vCenter Server インスタンスで同じで、次の特性を持っている必要があります。

  • 標準キー プロバイダ:同じキー サーバ(または複数のキー サーバ)がキー プロバイダに含まれている必要があります。
  • 信頼済みキー プロバイダ:同じ vSphere 信頼機関 サービスをターゲット ホストで構成する必要があります。
  • vSphere Native Key Provider: 同じ KDK が必要です。
    注: ソース ホストがクラスタ内に存在するかどうかに関係なく、vSphere Native Key Provider を使用して、暗号化された仮想マシンをスタンドアローン ホストにクローン作成または移行することはできません。

移行先の vCenter Server では、移行先の ESXi ホストで暗号化モードが設定されていることを確認し、ホストが「セーフ」モードで暗号化されるようにします。

vSphere vMotion を使用して vCenter Server のインスタンス間で暗号化された仮想マシンを移行またはクローン作成する場合は、次の権限が必要です。

  • 移行:仮想マシンでの暗号化操作.移行
  • クローン作成:仮想マシンでの暗号化操作.クローン作成

また、移行先の vCenter Server での暗号化操作.EncryptNew 権限も必要です。移行先の ESXi ホストが「セーフ」モードでない場合は、移行先の vCenter Server暗号化操作.RegisterHost 権限も必要です。

暗号化されていない、または暗号化されている仮想マシンを同じ vCenter Server で、または vCenter Server インスタンス間で移行する場合、特定のタスクが許可されません。

  • 仮想マシン ストレージ ポリシーを変更することはできません。
  • キーの変更は実行できません。
注: 仮想マシンのクローン作成中に仮想マシン ストレージ ポリシーを変更できます。

vCenter Server インスタンス間での暗号化された仮想マシンを移行またはクローン作成するための最小要件

標準キー プロバイダによって暗号化された仮想マシンを vSphere vMotion を使用して vCenter Server インスタンス間で移行またはクローン作成するための最小のバージョン要件は次のとおりです。

  • 移行元と移行先の vCenter Server インスタンスの両方がバージョン 7.0 以降である必要があります。
  • 移行元と移行先の ESXi ホストの両方がバージョン 6.7 以降である必要があります。

信頼済みキー プロバイダによって暗号化された仮想マシンを vSphere vMotion を使用して vCenter Server インスタンス間で移行またはクローン作成するための最小のバージョン要件は次のとおりです。

  • vSphere 信頼機関 サービスが移行先ホスト用に設定されている必要があります。また、移行先ホストは証明を受けている必要があります。
  • 移行時に暗号化を変更することはできません。たとえば、仮想マシンを新しいストレージに移行するときに、暗号化されていないディスクを暗号化することはできません。
  • 標準の暗号化された仮想マシンを信頼済みホストに移行できます。キー プロバイダ名は、移行元と移行先の両方の vCenter Server インスタンスで同じである必要があります。
  • vSphere 信頼機関 で暗号化された仮想マシンを、信頼されていないホストに移行することはできません。

信頼済みキー プロバイダの vMotion および vCenter Server 間 vMotion

信頼済みキー プロバイダは、ESXi ホスト間での vMotion を全面的にサポートします。

vCenter Server 間 vMotion はサポートされますが、次の制限があります。

  1. 必要な信頼済みサービスが移行先ホスト用に設定されている必要があります。また、移行先ホストは証明を受けている必要があります。
  2. 移行時に暗号化を変更することはできません。たとえば、仮想マシンを新しいストレージに移行するときに、ディスクを暗号化することはできません。

vCenter Server 間 vMotion を実行するとき、vCenter Server は、信頼済みキー プロバイダが移行先ホストで使用可能であること、およびホストからアクセスできるかどうかを確認します。

vSphere Native Key Provider の vMotion および vCenter Server 間 vMotion

vSphere Native Key Provider は、ESXi ホスト間での vMotion および暗号化された vMotion をサポートします。vCenter Server 間 vMotion は、vSphere Native Key Provider がターゲット ホスト上で構成されている場合にサポートされます。

暗号化された vSphere vMotion を仮想マシンで有効にする方法

仮想マシンの作成時に、暗号化された vSphere vMotion を有効にすることができます。後で、暗号化された vMotion の状態を仮想マシンの設定から変更することができます。暗号化された vMotion の状態を変更できるのは、暗号化されていない仮想マシンに対してのみです。

仮想マシンの暗号化の詳細については、暗号化された vSphere vMotion についてを参照してください。

前提条件

暗号化された vMotion は vSphere 6.5 以降でのみサポートされます。

手順

  1. 仮想マシンを右クリックし、[設定の編集] を選択します。
  2. [仮想マシン オプション] を選択します。
  3. [暗号化] をクリックし、[暗号化された VMotion] ドロップダウン メニューからオプションを選択します。
    無効

    暗号化された vMotion は使用しません。

    任意

    暗号化された vMotion は、ソースとターゲットの両方のホストでサポートされる場合に使用します。暗号化された vMotion は、バージョン 6.5 以降の ESXi ホストでのみサポートされます。

    必須

    暗号化された vMotion のみを許可します。ソースのホストまたはターゲットのホストで vMotion の暗号化がサポートされない場合は、vMotion による移行は失敗します。