从 VMware Cloud Director 10.4.2 开始,可以创建、复制和编辑具有可信平台模块 (TPM) 设备的 VM 和 vApp。TPM 是物理可信平台模块 2.0 芯片的基于软件的表示形式。TPM 充当任何其他虚拟设备。
TPM 提供基于硬件的安全相关功能,如随机数生成、证明、密钥生成等。将 TPM 添加到 VM 时,TPM 使客户机操作系统能够创建和存储私钥。客户机操作系统无法访问这些密钥,这会减少 VM 攻击面。通常,对于安全受到危害的客户机操作系统,其密钥的安全也会受到危害,但启用 TPM 会在很大程度上降低此风险。只有客户机操作系统才能使用这些密钥进行加密或签名。通过连接 TPM,客户端可以远程证明 VM 的身份,并验证其正在运行的软件。
TPM 不要求 ESXi 主机上存在可信平台模块 2.0 物理芯片。从 VM 的角度来看,TPM 是一个虚拟设备。可以将 TPM 添加到新 VM,也可以添加到现有 VM。要保护重要的 TPM 数据,TPM 依赖于 VM 加密,并且您必须配置密钥提供程序。配置 TPM 时,VM 文件会进行加密,而不是磁盘加密。
有关租户相关信息,请参见使用虚拟机。
- 虚拟机要求
- EFI 固件
- VM 硬件版本 14 及更高版本
- 组件要求
- 适用于 Windows VM 的 vCenter Server 6.7 及更高版本,适用于 Linux VM 的 vCenter Server 7.0 Update 2
- 为 vCenter Server 配置的本机密钥提供程序、标准密钥提供程序或可信密钥提供程序。请参见 VMware vSphere 安全性文档中的配置和管理标准密钥提供程序、配置和管理 vSphere Native Key Provider 或 可信基础架构安全章节。
- 客户机操作系统支持
- Linux
- Windows Server 2008 及更高版本
- Windows 7 及更高版本
- 复制 VM
- 移动 VM
- 复制 vApp
- 移动 vApp
- 当 vApp 模板在实例化期间复制 TPM 时,实例化该模板。
- 将 vApp 作为 vApp 模板保存到目录
- 将独立 VM 添加到目录
- 从 OVF 文件创建 vApp 模板
- 从 vCenter Server 导入 VM
- 用于加密每个 VM 的密钥提供程序必须在目标 vCenter Server 实例上以相同的名称注册。
- VM 和目标 vCenter Server 实例位于同一共享存储上。或者,必须激活快速跨 vCenter Server vApp 实例化。请参见 VMware Cloud Director 10.4 发行说明中的快速跨 vCenter Server vApp 实例化信息。
- 将 vApp 作为 vApp 模板保存到目录
- 将独立 VM 添加到目录
- 从 OVF 文件创建 vApp 模板
- 将 VM 作为模板从 vCenter Server 导入
- 复制 VM
- 复制 vApp
- 编写 vApp
| 操作 | vCenter Server 7.x | vCenter Server 8.x |
|---|---|---|
| 创建独立虚拟机 | 新建 TPM 设备 | 新建 TPM 设备 |
| 根据模板创建虚拟机 | 复制并替换 取决于特定的 VM 模板。 |
复制并替换 取决于特定的 VM 模板。 |
| 构建新 vApp | 复制并替换 取决于特定的 VM 模板。 |
复制并替换 取决于特定的 VM 模板。 |
| 从 OVF 软件包创建 vApp | 新建 TPM 设备 上载具有 TPM |
新建 TPM 设备 上载具有 TPM |
| 根据 vApp 模板创建 vApp | 复制并替换 取决于 vApp 模板。 |
复制并替换 取决于 vApp 模板。 |
| 将虚拟机作为 vApp 从 vCenter Server 导入 | 复制 | 复制 |
| 将虚拟机添加到 vApp | 新建 TPM 设备 | 新建 TPM 设备 |
| 将模板中的 VM 添加到 vApp | 复制并替换 取决于特定的 VM 模板。 |
复制并替换 取决于特定的 VM 模板。 |
| 将虚拟机复制到其他 vApp | 复制 | 复制并替换 |
| 将虚拟机移动到其他 vApp | 复制 | 复制 |
| 复制 适用于 vApp 中的所有 TPM 设备。 |
复制并替换 适用于 vApp 中的所有 TPM 设备。 |
|
| 将 vApp 作为 vApp 模板保存到目录 | 复制并替换 | 复制并替换 |
| 从 OVF 文件创建 vApp 模板 | 新建 TPM 设备 上载具有 TPM |
新建 TPM 设备 上载具有 TPM |
如果未在 API 中指定是复制还是替换 TPM 设备,则默认情况下,VMware Cloud Director 会复制 TPM。在 UI 中对 vApp 执行操作时,用于复制或替换 TPM 的选项适用于 vApp 中的所有 VM。
- 如果模板是使用 VMware Cloud Director 创建的,则在捕获模板时,实例化将根据所选 TPM 置备选项复制或替换 TPM 设备。
- 如果模板是通过上载 OVF 或 OVA 创建的,则实例化会替换 TPM 设备。
- 如果模板是通过从 vCenter Server 导入 VM 创建的,则实例化会复制 TPM 设备。
- 如果目标 vCenter Server 满足 TPM 要求,则可以跨 vCenter Server 实例对 VMware Cloud Director 在实例化期间替换 TPM 设备的模板执行实例化。
使用 VMware Cloud Director API 时,如果目标 vCenter Server 实例包含与 VM 关联的密钥提供程序,则 VMware Cloud Director 支持具有 TPM 设备的 VM 使用 moveVApp API。moveVApp API 没有共享存储要求。涉及移动 vApp 的其他操作有共享存储要求。
将包含 TPM 设备的 VM 作为 vApp 从 vCenter Server 实例导入会保留 TPM 设备以用于 copy 和 move 操作。
有关 vCenter Server 的 TPM 必备条件,请参见 vSphere 安全性指南中的创建具有虚拟可信平台模块的虚拟机或向现有虚拟机添加虚拟可信平台模块。
