レプリケーショントラフィックのネットワーク暗号化

新規および既存のレプリケーションのレプリケーショントラフィックデータのネットワーク暗号化を有効にして、データ転送のセキュリティを強化することができます。

VMware vSphere Replication 8.7 では、ソース ESXi ホストからターゲットサイトの vSphere Replication サーバへのレプリケーショントラフィックフローの暗号化を有効にできます。

vSphere Replication アプライアンスは暗号化エージェントをソース ESXi ホストに自動的にインストールします。ネットワーク暗号化は、セキュアな転送プロトコル TLSv1.2 を使用します。

暗号化されたレプリケーショントラフィックは、ソースの ESXi ホストとターゲットサイトの vSphere Replication サーバ間で証明書ベースの相互認証を使用します。

レプリケーションを構成または再構成するときに、vSphere Replication 管理サーバ (VRMS) はターゲット vSphere Replication サーバ証明書のサムプリントを使用してソース仮想マシンの構成を更新します。VRMS は、ソースサイトのすべての ESXi ホストの証明書を使用して、ターゲットサイトの各 vSphere Replication サーバを登録します。登録は、ペアリングされている vSphere Replication サイトごとに個別に行われます。

VRMS は、ソース ESXi ホストとターゲット vSphere Replication サーバの認証局に関係なく、暗号化されたレプリケーショントラフィックのエンドポイントにあるリーフ証明書のデータを交換します。

ソース ESXi ホストでシェルコマンド esxcli software vib list を実行して、vmware-hbr-agent VIB を検索し、システムでエージェントが使用可能であることを確認します。

ネットワーク暗号化機能を有効にすると、エージェントはソース ESXi ホスト上でレプリケーションデータを暗号化し、ターゲットサイトの vSphere Replication アプライアンスに送信します。vSphere Replication サーバはデータを復号化し、ターゲットデータストアに送信します。

暗号化されていないトラフィックは、ソース ESXi ホスト上のポート 31031 とターゲットサイトの vSphere Replication アプライアンスに送信されます。

暗号化されたトラフィックは、ソース ESXi ホスト上のポート 32032 とターゲットサイトの vSphere Replication アプライアンスに送信されます。

暗号化された仮想マシンのレプリケーションを構成すると、ネットワーク暗号化は自動的に有効になり、無効にすることはできません。