免責事項：これは英文の記事「Remediating an ESXi host using host profiles results in sshKey being non-compliant during compliance check」の日本語訳です。記事はベストエフォートで翻訳を進めているため、ローカライズ化コンテンツは最新情報ではない可能性があります。最新情報は英語版の記事で参照してください。


ホストプロファイルで ESXi ホストを修正してもコンプライアンスチェックで sshKey が非準拠となり、次のような症状が見られます。

• SSH キー設定に関連する次のような非準拠エラーが発生する可能性があります。
    - SSH public key not present in profile for root
• ホストプロファイルのセキュリティとサービス > セキュリティ設定 > セキュリティ > ユーザー構成 > ルートでは正しい key の構成が表示されます。
• "/etc/ssh/keys-root/authorized_keys" には複数の key が登録されています。
• 準拠 ESXi ホストと非準拠 ESXi ホストの "/etc/ssh/keys-root/authorized_keys" の内容を確認すると、同じ内容でも記載されている順番が異なります。
  

  例:
  -- 準拠 ESXi ホスト
  ssh-rsa < Key-A > host-name-A
  ssh-rsa < Key-B > host-name-B
  ssh-rsa < Key-C > host-name-C
  ssh-rsa < Key-D > host-name-D
  ssh-rsa < Key-E > host-name-E

  -- 非準拠 ESXi ホスト
  ssh-rsa < Key-D > host-name-D
  ssh-rsa < Key-A > host-name-A
  ssh-rsa < Key-C > host-name-C
  ssh-rsa < Key-B > host-name-B
  ssh-rsa < Key-E > host-name-E

VMware vSphere ESXi 8.0

ホストプロファイルによる ESXi ホストの修正実行時に key の記載順が変更され、ホストプロファイルに登録された authorized_keys の内容と差異が発生することでコンプライアンスチェックに失敗します。
Note: この key の記載順変更は、ホストプロファイルで修正された ESXi ホストの再起動時にもみられます。

現在、この問題の回避策はありません。将来のリリースバージョンにて修正される予定です。
非準拠 ESXi ホストのauthorized_keys ファイルの内容を、ホストプロファイルに登録されている key と同じ順に変更することで一時的に準拠させることができます。

ESXi Host not compatible with attached Host Profile due to SSH authorized key value mismatch. Error "SSH public key not present in profile for root"