Entender os dispositivos Trusted Platform Module

A partir do VMware Cloud Director 10.4.2, você pode criar, copiar e editar VMs e vApps com dispositivos Trusted Platform Module (TPM). Um TPM é uma representação baseada em software de um chip físico Trusted Platform Module 2.0. Um TPM atua como qualquer outro dispositivo virtual.

Os TPMs fornecem funções relacionadas à segurança e baseadas em hardware, como geração aleatória de números, atestado, geração de chave e muito mais. Quando você adiciona um TPM a uma VM, o TPM permite que o sistema operacional convidado crie e armazene chaves privadas. O sistema operacional guest não pode acessar essas chaves, o que reduz a superfície de ataque da VM. Normalmente, comprometer o sistema operacional convidado compromete seus segredos, mas ativar um TPM reduz consideravelmente esse risco. Somente o sistema operacional convidado pode usar essas chaves para criptografia ou assinatura. Com um TPM anexado, um cliente pode atestar remotamente a identidade da VM e verificar o software em execução.

Um TPM não exige que um chip físico Trusted Platform Module 2.0 esteja presente no host ESXi. Sob a perspectiva da VM, um TPM é um dispositivo virtual. Você pode adicionar um TPM a uma VM nova ou existente. Para proteger dados vitais do TPM, um TPM depende da criptografia da VM e você deve configurar um provedor de chaves. Ao configurar um TPM, os arquivos da VM são criptografados, mas não os discos.

Para obter informações relevantes sobre tenants, consulte o tópico Trabalhando com máquinas virtuais.

Para adicionar um dispositivo TPM a uma VM, seu ambiente do vSphere deve atender a certos requisitos.

Requisitos da máquina virtual
- Firmware EFI
- Hardware da VM versão 14 e posterior
Requisitos de componente
- vCenter Server 6.7 e posterior para VMs Windows vCenter Server 7.0 Atualização 2 e posterior para VMs Linux
- Provedor de chave nativo, padrão ou confiável configurado para o vCenter Server. Consulte os capítulos Configurar e gerenciar um provedor de chave padrão, Configurar e gerenciar o vSphere Native Key Provider ou Visão geral da infraestrutura confiável na documentação do VMware vSphere Security.
Suporte ao SO Convidado
- Linux
- Windows Server 2008 e posterior
- Windows 7 e posterior

Para realizar determinadas operações para VMs com o TPM em instâncias do vCenter Server, você deve verificar se o seu ambiente atende a certos pré-requisitos. As operações são:

Copiar uma VM
Mover uma VM
Copiar um vApp
Mover um vApp
Instancie um modelo do vApp quando o modelo copiar o TPM durante a instanciação.
Salvar um vApp como um modelo de vApp em um catálogo
Adicionar uma VM autônoma a um catálogo
Criar um modelo de vApp a partir de um arquivo OVF
Importar uma VM do vCenter Server

Para realizar as operações em instâncias do vCenter Server, seu ambiente deve atender aos seguintes critérios:

O provedor de chave usado para criptografar cada VM deve ser registrado na instância do vCenter Server de destino com o mesmo nome.
A VM e a instância do vCenter Server de destino estão no mesmo armazenamento compartilhado. Como alternativa, a instanciação rápida cruzada do vApp do vCenter Server deve ser ativada. Consulte as informações de instanciação rápida cruzada do vApp do vCenter Server nas Notas da versão do VMware Cloud Director 10.4.

Para VMs com um dispositivo TPM, quando o catálogo de destino usar qualquer armazenamento disponível em uma organização que possui várias instâncias de suporte do vCenter Server, o VMware Cloud Director não suportará as seguintes operações:

Salvar um vApp como um modelo de vApp em um catálogo
Adicionar uma VM autônoma a um catálogo
Criar um modelo de vApp a partir de um arquivo OVF
Importar uma VM do vCenter Server como modelo

Se instância do vCenter Server de destino for a versão 8.0 ou posterior, você poderá substituir o dispositivo TPM de uma VM durante as seguintes operações:

Copiar uma VM
Copiar um vApp
Compor um vApp

Tabela 1. Opções do Dispositivo TPM Dependendo da Versão do vCenter Server
Operação	vCenter Server 7.x	vCenter Server 8.x
Criar uma Máquina Virtual Independente	Novo dispositivo TPM	Novo dispositivo TPM
Criar uma Máquina Virtual a partir de um Modelo	Copiar e substituir Depende do modelo de VM específico.	Copiar e substituir Depende do modelo de VM específico.
Criar um Novo vApp	Copiar e substituir Depende dos modelos de VM específicos.	Copiar e substituir Depende dos modelos de VM específicos.
Criar um vApp de um Pacote OVF	Novo dispositivo TPM Carregar um OVF com uma seção `RASD` TPM anexa um novo dispositivo TPM a cada VM com um TPM definido.	Novo dispositivo TPM Carregar um OVF com uma seção `RASD` TPM anexa um novo dispositivo TPM a cada VM com um TPM definido.
Criar um vApp a partir de um Modelo de vApp	Copiar e substituir Depende do modelo do vApp.	Copiar e substituir Depende do modelo do vApp.
Importar uma Máquina Virtual do vCenter Server como um vApp	Copiar	Copiar
Adicionar uma Máquina Virtual a um vApp	Novo dispositivo TPM	Novo dispositivo TPM
Adicionar uma VM de um Modelo a um vApp	Copiar e substituir Depende do modelo de VM específico.	Copiar e substituir Depende do modelo de VM específico.
Copiar uma Máquina Virtual para um vApp Diferente	Copiar	Copiar e substituir
Mover uma Máquina Virtual para um vApp Diferente	Copiar	Copiar
Copiar um vApp Parado para Outro VDC Copiar um vApp Ligado	Copiar Aplica-se a todos os dispositivos TPM no vApp.	Copiar e substituir Aplica-se a todos os dispositivos TPM no vApp.
Salvar um vApp como um Modelo de vApp em um Catálogo	Copiar e substituir	Copiar e substituir
Criar um Modelo de vApp a partir de um Arquivo OVF	Novo dispositivo TPM Carregar um OVF com uma seção `RASD` TPM anexa um novo dispositivo TPM a cada VM com um TPM definido.	Novo dispositivo TPM Carregar um OVF com uma seção `RASD` TPM anexa um novo dispositivo TPM a cada VM com um TPM definido.

Se você não especificar se deseja copiar ou substituir um dispositivo TPM na API, o VMware Cloud Director copiará o TPM por padrão. Ao realizar operações em vApps na UI, a opção de copiar ou substituir o TPM se aplica a todas as VMs no vApp.

Ao instanciar uma VM de um modelo do vApp contendo um dispositivo TPM, existem algumas considerações que você deve levar em conta.

Se o modelo tiver sido criado usando o VMware Cloud Director, a instanciação será copiada ou substituirá o dispositivo TPM com base na opção Provisionamento de TPM selecionada quando o modelo foi capturado.
Se o modelo tiver sido criado carregando um OVF ou OVA, a instanciação substituirá o dispositivo TPM.
Se o modelo tiver sido criado pela importação de uma VM do vCenter Server, a instanciação copiará o dispositivo TPM.
Se o vCenter Server de destino atender aos requisitos do TPM, você poderá realizar instanciações em instâncias do vCenter Server para modelos para os quais o VMware Cloud Director substitui os dispositivos TPM durante a instanciação.

Ao usar a API do VMware Cloud Director, o VMware Cloud Director oferecerá suporte à API moveVApp para VMs com um dispositivo TPM se a instância do vCenter Server de destino contiver o provedor de chave associado à VM. Não há nenhum requisito de armazenamento compartilhado para a API moveVApp. Existem requisitos de armazenamento compartilhado para outras operações que envolvem a movimentação de um vApp.

Importar uma VM que contém um dispositivo TPM de uma instância do vCenter Server como um vApp preserva o dispositivo TPM para as operações de copy e move.

Para obter os pré-requisitos do TPM para o vCenter Server, consulte as seções de pré-requisitos em Criar uma máquina virtual com um Virtual Trusted Platform Module ou Adicionar um Virtual Trusted Platform Module a uma máquina virtual existente no guia vSphere Security.