与物理机一样,虚拟机 (VM) 是运行操作系统和应用程序的软件计算机。虚拟机包含一组规范和配置文件,并由主机的物理资源提供支持。每个虚拟机都具有一些虚拟设备,这些设备可提供与物理硬件相同的功能,但可移植性更强、更安全且更易于管理。
除了可在物理机上运行的操作外,VMware Cloud Director 虚拟机还支持虚拟基础架构操作,如创建虚拟机状态的快照,以及将虚拟机从一台主机移到另一台主机。
虚拟机支持 IPv6 连接。可以将 IPv6 地址分配给连接到虚拟机的 IPv6 网络。
使用可信平台模块保护虚拟机
从 VMware Cloud Director 10.4.2 开始,可以创建、复制和编辑具有可信平台模块 (TPM) 设备的 VM。TPM 是物理可信平台模块 2.0 芯片的基于软件的表示形式。TPM 充当任何其他虚拟设备。
TPM 提供基于硬件的安全相关功能,如随机数生成、证明、密钥生成等。将 TPM 添加到 VM 时,TPM 使客户机操作系统能够创建和存储私钥。客户机操作系统无法访问这些密钥,这会减少 VM 攻击面。通常,对于安全受到危害的客户机操作系统,其密钥的安全也会受到危害,但启用 TPM 会在很大程度上降低此风险。只有客户机操作系统才能使用这些密钥进行加密或签名。通过连接 TPM,客户端可以远程证明 VM 的身份,并验证其正在运行的软件。
TPM 不要求 ESXi 主机上存在可信平台模块 2.0 物理芯片。从 VM 的角度来看,TPM 是一个虚拟设备。可以将 TPM 添加到新 VM,也可以添加到现有 VM。要保护重要的 TPM 数据,TPM 依赖于 VM 加密,并且您必须配置密钥提供程序。配置 TPM 时,VM 文件会进行加密,而不是磁盘加密。
- VM 已关闭电源。
- VM 没有任何快照。
- 支持 TPM 的 VDC 支持 VM。
- VM 固件为 EFI。
- VM 硬件版本为版本 14 或更高版本。
- 客户机操作系统与 TPM 兼容。
- VM 已关闭电源。
- VM 没有任何快照。
要跨 vCenter Server 实例对具有 TPM 的 VM 执行某些操作,必须确认您的环境满足某些必备条件。
操作 | 必备条件 |
---|---|
复制 VM |
|
移动 VM | |
复制 vApp | |
移动 vApp | |
从模板创建 VM | |
将 vApp 作为 vApp 模板保存到目录 | |
将独立 VM 添加到目录 | |
从 OVF 文件创建 vApp 模板 | |
从 vCenter Server 导入 VM |
- 将 vApp 作为 vApp 模板保存到目录
- 将独立 VM 添加到目录
- 从 OVF 文件创建 vApp 模板
- 将 VM 作为模板从 vCenter Server 导入
- 复制 VM
- 复制 vApp
- 编写 vApp
操作 | vCenter Server 7.x | vCenter Server 8.x |
---|---|---|
创建独立虚拟机 | 新建 TPM 设备 | 新建 TPM 设备 |
从模板创建 VM | 复制并替换 取决于特定的 VM 模板。 |
复制并替换 取决于特定的 VM 模板。 |
使用 VM 模板创建 vApp | 复制并替换 取决于特定的 VM 模板。 |
复制并替换 取决于特定的 VM 模板。 |
从 OVF 软件包创建 vApp | 新建 TPM 设备 上载具有 TPM |
新建 TPM 设备 上载具有 TPM |
从模板创建 vApp | 复制并替换 取决于 vApp 模板。 |
复制并替换 取决于 vApp 模板。 |
将 VM 作为 vApp 从 vCenter Server 导入 | 复制 | 复制 |
将新 VM 添加到 vApp | 新建 TPM 设备 | 新建 TPM 设备 |
将模板中的 VM 添加到 vApp | 复制并替换 取决于特定的 VM 模板。 |
复制并替换 取决于特定的 VM 模板。 |
将 VM 复制到其他 vApp | 复制 | 复制并替换 |
将 VM 移动到其他 vApp | 复制 | 复制 |
复制 适用于 vApp 中的所有 TPM 设备。 |
复制并替换 适用于 vApp 中的所有 TPM 设备。 |
|
将 vApp 作为 vApp 模板保存到目录 | 复制并替换 | 复制并替换 |
从 OVF 文件创建 vApp 模板 | 新建 TPM 设备 上载具有 TPM |
新建 TPM 设备 上载具有 TPM |
如果未在 API 中指定是复制还是替换 TPM 设备,则默认情况下,VMware Cloud Director 会复制 TPM。在 UI 中对 vApp 执行操作时,用于复制或替换 TPM 的选项适用于 vApp 中的所有 VM。
- 如果模板是使用 VMware Cloud Director 创建的,则在捕获模板时,实例化将根据所选 TPM 置备选项复制或替换 TPM 设备。
- 如果模板是通过上载 OVF 或 OVA 创建的,则实例化会替换 TPM 设备。
- 如果模板是通过从 vCenter Server 导入 VM 创建的,则实例化会复制 TPM 设备。
- 如果目标 vCenter Server 满足 TPM 要求,则可以跨 vCenter Server 实例对 VMware Cloud Director 在实例化期间替换 TPM 设备的模板执行实例化。
如果订阅包含具有 TPM 设备的模板的目录,则订阅者的 VMware Cloud Director 版本必须为 10.4.2 或更高版本。如果订阅者的 VMware Cloud Director 版本为 10.4.1 或更低版本,则模板不包含 TPM 设备。
有关 vCenter Server 的 TPM 必备条件,请参见 vSphere 安全性指南中的创建具有虚拟可信平台模块的虚拟机或向现有虚拟机添加虚拟可信平台模块。