vSANクラスタ上のvCenterサーバのNKPでvSAN暗号化を有効化してみた
※これは、 vExperts Advent Calendar 2023 の5日めの投稿です。 検証の目的と動作検証結果 vSAN 暗号化を利用する場合 KMS を vSAN データストア上に配置してしまうと”金庫の中に鍵”状態になってしまいます。そのため、 Cluster Shutdown/PowerOn を実施すると仮想マシンの起動ができずデッドロック状態になってしまうことになります。しかし、 VMware のドキュメントを読んでいると、 vCenter の Native Key Provider ( NKP )を利用している場合はそうならない旨の記載を確認できました。そこで NKP を有効化した vCenter を vSAN データストアに配置した状態で vSAN 暗号化を有効にし、 Cluster Shutdown/PowerOn を実施したところ、問題なく仮想マシンの起動ができることを確認しました。 ※上記は検証作業で明らかになった動作検証結果であり、その構成を採用可能かどうかの結論ではありません。 vSAN 暗号化とは 以下の記事に説明があるとおり、 vSAN データストアを暗号化する機能です。 vSAN 暗号化を有効化すると vSAN データストアのすべてのファイルが暗号化されるため、復号キーがない限り仮想マシンを起動することができません。 複合キーは ESXi 起動時に KMS に接続することで入手できる仕組みになっています。 その為、 KMS に接続できない状況ではキーを取得することができず、仮想マシンを起動できません。 ただし、 ESXi 起動時に入手したキー情報はメモリに保持されるため、入手後に KMS との疎通が途絶えても ESXi を再起動しない限り再接続は不要です。 vSAN による保存データの暗号化 (vmware.com) KMS とは Key Management Server のことであり、 vSAN に限らず暗号化のためのカギを管理し、必要に応じて配布する役割を持つサーバでです。 なお、 VMware のドキュメントや GUI では後述の NKP との区別として Standard Key Provider と表記されることもあります。 vSA