IBM Cloud Docs
KMIP for VMware の実装と管理

KMIP for VMware の実装と管理

VMware®向けのKey Management Interoperability Protocol (KMIP™)のKey Protectサポートは2026年7月16日に終了し、その後Key Protectサービスとの相互運用性は機能しなくなります。 IBM® Key Protect IBM Cloud® に移行する。

このお知らせは、 Key Protect の KMIP for VMware サポートをご利用のお客様にのみ適用されます。 Hyper Protect Crypto Services (HPCS)の VMware サポートのためにKMIPを使用している顧客は、この発表の影響を受けません。 HPCSのKMIP for VMware サポートは、何の影響もなく通常通り機能し続ける。

計画

KMIP™ for VMware サービスは無料です。 Hyper Protect Crypto Services の料金プランを確認するには、カタログページをご覧ください。 Hyper Protect Crypto Services カタログページをご覧ください。

VMware vSAN™ 暗号化を使用する場合は、 Hyper Protect Crypto Services でルート鍵を1つ、暗号化する vSAN クラスターごとに標準鍵を2つ使用する予定です。

VMware vSphere® の暗号化を使用する場合は、1つのルート鍵、 vSphere クラスタごとに1つの標準鍵、暗号化された仮想マシン(VM)ごとに1つの標準鍵を使用するように計画してください。

Hyper Protect Crypto Services はマルチゾーン・リージョン(MZR)のみで利用可能。 Hyper Protect Crypto Services (HPCS) は、一部の MZR でのみ提供されています。 KMIP for VMware® は、HPCSインスタンスと同じリージョンに自動的にデプロイされます。 VMware vCenter Server®は、KMIPサービスへの高いレイテンシーを許容できるので、通常、距離は心配の種ではない。

鍵管理サーバーの接続

KMIP for VMware を使用して vSphere 暗号化または vSAN 暗号化を有効にするには、以下の作業を実行する必要があります。

  1. アカウント内のサービス・エンドポイントを有効にします
  2. キー・マネージャーのインスタンスを作成する。 IBM Cloud Hyper Protect Crypto Services. Hyper Protect Crypto Services (HPCS) を使用している場合は、Hyper Protect Crypto Services が鍵関連機能を提供できるようにするため、必ず暗号インスタンスを初期化します。
  3. 鍵マネージャー・インスタンスの中にカスタマー・ルート鍵 (CRK) を作成します。
  4. IBM Cloud for VMware Solutions コンソールから KMIP for VMware インスタンスを作成します。
  5. HPCS を使用している場合は、HPCS インスタンスに対する、KMIP for VMware インスタンスの IAM サービス許可を作成します。 HPCS インスタンスに対するプラットフォームの**「ビューアー」**アクセス権限とサービスの **「VMware KMIP マネージャー (VMware KMIP Manager)」**アクセス権限の両方を KMIP for VMware インスタンスに付与します。
  6. KMIP for VMware インスタンスを構成して HPCS インスタンスに接続し、KMIP で使用する CRK を選択します。
  7. vCenter Server内で、鍵プロバイダ・クラスタを作成する。
    • HPCS を使用している場合は、KMIP for VMware インスタンスに割り当てられた固有のホスト名とポートに接続するようにこのクラスターを構成します。
  8. vCenter Server で KMS クライアント証明書を生成またはインストールするには、 VMware のいずれかの方法を選択します。
  9. その証明書のパブリック・バージョンをエクスポートし、許可されたクライアントの証明書として KMIP for VMware インスタンスに構成します。 キー・マネージャー・インスタンスは、設定されたクライアント証明書を取得する間隔を最大5分とする。 このため、vCenter Server への KMS トラストを構築できない場合は、5 分間待ってから再試行してください。

暗号化の有効化

vSAN 暗号化を使用するには、 vCenter Server クラスタの vSAN 一般設定を編集し、暗号化チェックボックスを選択します。

vSAN 健全性チェックにより、1 つ以上の vSphere ホストから KMS クラスターに接続できないという警告が定期的に送信されることがあります。 こうした警告が出されるのは、vSAN ヘルス・チェックの接続が短時間でタイムアウトになる場合です。 このような警告は無視してかまいません。 詳細については、 vSAN KMSヘルスチェックがSSLハンドシェイクタイムアウトエラーで断続的に失敗するを参照してください。

vSphere 暗号化を使用するには、VM のストレージ・ポリシーを編集し、ディスクの暗号化を必須にします。

重要な注意事項

VMの中には、暗号化のために特別な計画を必要とするものもある。特に、VM自身が動作するための鍵材料を得るために、循環的な依存関係に関与する可能性がある場合はなおさらである。 以下の情報を考慮してください。

  • vCenterサーバーは暗号化キーの取得に関与する。 この VM は、vSphere 暗号化を使用して暗号化されてはならず、暗号化された vSAN データストア上に存在してはなりません。
  • 環境内のMicrosoft Windows® Active Directoryコントローラは、鍵管理に接続するためのホスト名解決に使用されます。 vSphere 暗号化を使用して暗号化したり、暗号化された vSAN データストアに配置したりしないでください。
  • VMware では、VMware NSX® VM を vSphere 暗号化を使用して暗号化することは推奨していません。

鍵のローテーション

お客様の Hyper Protect Crypto ServicesIBM Cloud コンソールまたは API を使用して、カスタマー・ルート・キー (CRK) をローテーションします。

  • vSAN 暗号化では、VMware キー暗号化キーとデータ暗号化キー (オプション) を、vSAN Server クラスターの vCenter 一般設定からローテーションします。
  • vSphere 暗号化では、Set-VMEncryptionKey PowerShell コマンドを使用して、VMware キー暗号化キーとデータ暗号化キー (オプション) をローテーションします。

鍵の無効化

選択した CRK を鍵マネージャーから削除することで、KMIP for VMware で使用しているすべての鍵を無効にすることができます。

鍵を無効にするという方法により、無効にした鍵および KMIP for VMware インスタンスで保護されていたすべてのデータが暗号的に廃棄されます。 ESXi ホストの稼働中は VMware が一部の鍵を保護するので、確実にすべての暗号化データを使用させないようにするには、vSphere クラスターを再始動する必要があります。

KMIP for VMware は、 VMware に既知のキーIDに関連付けられた名前を使用することで、 Hyper Protect Crypto Services インスタンスに個々のラップされたKEKを保存する。 個々の鍵を削除すると、個々のディスクまたはドライブの暗号化を無効にすることができます。

暗号化ディスクを持つ VM をインベントリーから削除しても、VMware は KMS から鍵を削除しません。 この処理は、その VM をバックアップからリカバリーしたり、インベントリーにリストアしたりできるようにするためです。 これらの鍵を再利用しつつ、すべてのバックアップを暗号的に無効にする場合は、VM を削除した後に鍵を鍵マネージャー・インスタンスから削除する必要があります。