A partir do VMware Cloud Director 10.4.2, você pode criar, copiar e editar VMs e vApps com dispositivos Trusted Platform Module (TPM). Um TPM é uma representação baseada em software de um chip físico Trusted Platform Module 2.0. Um TPM atua como qualquer outro dispositivo virtual.

Os TPMs fornecem funções relacionadas à segurança e baseadas em hardware, como geração aleatória de números, atestado, geração de chave e muito mais. Quando você adiciona um TPM a uma VM, o TPM permite que o sistema operacional convidado crie e armazene chaves privadas. O sistema operacional guest não pode acessar essas chaves, o que reduz a superfície de ataque da VM. Normalmente, comprometer o sistema operacional convidado compromete seus segredos, mas ativar um TPM reduz consideravelmente esse risco. Somente o sistema operacional convidado pode usar essas chaves para criptografia ou assinatura. Com um TPM anexado, um cliente pode atestar remotamente a identidade da VM e verificar o software em execução.

Um TPM não exige que um chip físico Trusted Platform Module 2.0 esteja presente no host ESXi. Sob a perspectiva da VM, um TPM é um dispositivo virtual. Você pode adicionar um TPM a uma VM nova ou existente. Para proteger dados vitais do TPM, um TPM depende da criptografia da VM e você deve configurar um provedor de chaves. Ao configurar um TPM, os arquivos da VM são criptografados, mas não os discos.

Para obter informações relevantes sobre tenants, consulte Como trabalhar com máquinas virtuais.

Para adicionar um dispositivo TPM a uma VM, seu ambiente do vSphere deve atender a certos requisitos.
Para realizar determinadas operações para VMs com o TPM em instâncias do vCenter, você deve verificar se o seu ambiente atende a certos pré-requisitos. As operações são:
  • Copiar uma VM
  • Mover uma VM
  • Copiar um vApp
  • Mover um vApp
  • Instancie um modelo do vApp quando o modelo copiar o TPM durante a instanciação.
  • Salvar um vApp como um modelo de vApp em um catálogo
  • Adicionar uma VM autônoma a um catálogo
  • Criar um modelo de vApp a partir de um arquivo OVF
  • Importar uma VM do vCenter
Para realizar as operações em instâncias do vCenter, seu ambiente deve atender aos seguintes critérios:
  • O provedor de chave usado para criptografar cada VM deve ser registrado na instância do vCenter de destino com o mesmo nome.
  • A VM e a instância do vCenter de destino estão no mesmo armazenamento compartilhado. Como alternativa, a instanciação rápida cruzada do vApp do vCenter deve ser ativada. Consulte as informações de instanciação rápida cruzada do vApp do vCenter nas Notas da versão do VMware Cloud Director 10.4.
Para VMs com um dispositivo TPM, quando o catálogo de destino usar qualquer armazenamento disponível em uma organização que possui várias instâncias de suporte do vCenter, o VMware Cloud Director não suportará as seguintes operações:
  • Salvar um vApp como um modelo de vApp em um catálogo
  • Adicionar uma VM autônoma a um catálogo
  • Criar um modelo de vApp a partir de um arquivo OVF
  • Importar uma VM do vCenter como modelo
Se instância do vCenter de destino for a versão 8.0 ou posterior, você poderá substituir o dispositivo TPM de uma VM durante as seguintes operações:
  • Copiar uma VM
  • Copiar um vApp
  • Compor um vApp
Tabela 1. Opções do Dispositivo TPM Dependendo da Versão do vCenter
Operação vCenter 7.x vCenter 8.x
Criar uma Máquina Virtual Independente Novo dispositivo TPM Novo dispositivo TPM
Criar uma Máquina Virtual a partir de um Modelo Copiar e substituir

Depende do modelo de VM específico.

Copiar e substituir

Depende do modelo de VM específico.

Criar um Novo vApp Copiar e substituir

Depende dos modelos de VM específicos.

Copiar e substituir

Depende dos modelos de VM específicos.

Criar um vApp de um Pacote OVF Novo dispositivo TPM

Carregar um OVF com uma seção RASD TPM anexa um novo dispositivo TPM a cada VM com um TPM definido.

Novo dispositivo TPM

Carregar um OVF com uma seção RASD TPM anexa um novo dispositivo TPM a cada VM com um TPM definido.

Criar um vApp a partir de um Modelo de vApp Copiar e substituir

Depende do modelo do vApp.

Copiar e substituir

Depende do modelo do vApp.

Importar uma Máquina Virtual do vCenter Server como um vApp Copiar Copiar
Adicionar uma Máquina Virtual a um vApp Novo dispositivo TPM Novo dispositivo TPM
Adicionar uma VM de um Modelo a um vApp Copiar e substituir

Depende do modelo de VM específico.

Copiar e substituir

Depende do modelo de VM específico.

Copiar uma Máquina Virtual para um vApp Diferente Copiar Copiar e substituir
Mover uma Máquina Virtual para um vApp Diferente Copiar Copiar

Copiar um vApp Parado para Outro VDC

Copiar um vApp Ligado

Copiar

Aplica-se a todos os dispositivos TPM no vApp.

Copiar e substituir

Aplica-se a todos os dispositivos TPM no vApp.

Salvar um vApp como um Modelo de vApp em um Catálogo Copiar e substituir Copiar e substituir
Criar um Modelo de vApp a partir de um Arquivo OVF Novo dispositivo TPM

Carregar um OVF com uma seção RASD TPM anexa um novo dispositivo TPM a cada VM com um TPM definido.

Novo dispositivo TPM

Carregar um OVF com uma seção RASD TPM anexa um novo dispositivo TPM a cada VM com um TPM definido.

Se você não especificar se deseja copiar ou substituir um dispositivo TPM na API, o VMware Cloud Director copiará o TPM por padrão. Ao realizar operações em vApps na UI, a opção de copiar ou substituir o TPM se aplica a todas as VMs no vApp.

Ao instanciar uma VM de um modelo do vApp contendo um dispositivo TPM, existem algumas considerações que você deve levar em conta.
  • Se o modelo tiver sido criado usando o VMware Cloud Director, a instanciação será copiada ou substituirá o dispositivo TPM com base na opção Provisionamento de TPM selecionada quando o modelo foi capturado.
  • Se o modelo tiver sido criado carregando um OVF ou OVA, a instanciação substituirá o dispositivo TPM.
  • Se o modelo tiver sido criado pela importação de uma VM do vCenter, a instanciação copiará o dispositivo TPM.
  • Se o vCenter de destino atender aos requisitos do TPM, você poderá realizar instanciações em instâncias do vCenter para modelos para os quais o VMware Cloud Director substitui os dispositivos TPM durante a instanciação.

Ao usar a API do VMware Cloud Director, o VMware Cloud Director oferecerá suporte à API moveVApp para VMs com um dispositivo TPM se a instância do vCenter de destino contiver o provedor de chave associado à VM. Não há nenhum requisito de armazenamento compartilhado para a API moveVApp. Existem requisitos de armazenamento compartilhado para outras operações que envolvem a movimentação de um vApp.

Importar uma VM que contém um dispositivo TPM de uma instância do vCenter como um vApp preserva o dispositivo TPM para as operações de copy e move.

Para obter os pré-requisitos do TPM para o vCenter, consulte as seções de pré-requisitos em Criar uma máquina virtual com um Virtual Trusted Platform Module ou Adicionar um Virtual Trusted Platform Module a uma máquina virtual existente no guia vSphere Security.