VMware Cloud Director 10.4.2 开始,可以创建、复制和编辑具有可信平台模块 (TPM) 设备的 VM 和 vApp。TPM 是物理可信平台模块 2.0 芯片的基于软件的表示形式。TPM 充当任何其他虚拟设备。

TPM 提供基于硬件的安全相关功能,如随机数生成、证明、密钥生成等。将 TPM 添加到 VM 时,TPM 使客户机操作系统能够创建和存储私钥。客户机操作系统无法访问这些密钥,这会减少 VM 攻击面。通常,对于安全受到危害的客户机操作系统,其密钥的安全也会受到危害,但启用 TPM 会在很大程度上降低此风险。只有客户机操作系统才能使用这些密钥进行加密或签名。通过连接 TPM,客户端可以远程证明 VM 的身份,并验证其正在运行的软件。

TPM 不要求 ESXi 主机上存在可信平台模块 2.0 物理芯片。从 VM 的角度来看,TPM 是一个虚拟设备。可以将 TPM 添加到新 VM,也可以添加到现有 VM。要保护重要的 TPM 数据,TPM 依赖于 VM 加密,并且您必须配置密钥提供程序。配置 TPM 时,VM 文件会进行加密,而不是磁盘加密。

有关租户相关信息,请参见使用虚拟机

要将 TPM 设备添加到 VM,您的 vSphere 环境必须满足特定要求。
  • 虚拟机要求
    • EFI 固件
    • VM 硬件版本 14 及更高版本
  • 组件要求
  • 客户机操作系统支持
    • Linux
    • Windows Server 2008 及更高版本
    • Windows 7 及更高版本
要跨 vCenter Server 实例对具有 TPM 的 VM 执行某些操作,必须确认您的环境满足某些必备条件。这些操作包括:
  • 复制 VM
  • 移动 VM
  • 复制 vApp
  • 移动 vApp
  • 当 vApp 模板在实例化期间复制 TPM 时,实例化该模板。
  • 将 vApp 作为 vApp 模板保存到目录
  • 将独立 VM 添加到目录
  • 从 OVF 文件创建 vApp 模板
  • vCenter Server 导入 VM
要跨 vCenter Server 实例执行操作,您的环境必须满足以下条件:
  • 用于加密每个 VM 的密钥提供程序必须在目标 vCenter Server 实例上以相同的名称注册。
  • VM 和目标 vCenter Server 实例位于同一共享存储上。或者,必须激活快速跨 vCenter Server vApp 实例化。请参见 VMware Cloud Director 10.4 发行说明中的快速跨 vCenter Server vApp 实例化信息。
对于具有 TPM 设备的 VM,当目标目录使用具有多个支持的 vCenter Server 实例的组织中的任何可用存储时, VMware Cloud Director 不支持以下操作:
  • 将 vApp 作为 vApp 模板保存到目录
  • 将独立 VM 添加到目录
  • 从 OVF 文件创建 vApp 模板
  • 将 VM 作为模板从 vCenter Server 导入
如果目标 vCenter Server 实例的版本为 8.0 或更高版本,则可以在执行以下操作期间替换 VM 的 TPM 设备:
  • 复制 VM
  • 复制 vApp
  • 编写 vApp
表 1. TPM 设备选项取决于 vCenter Server 版本
操作 vCenter Server 7.x vCenter Server 8.x
创建独立虚拟机 新建 TPM 设备 新建 TPM 设备
根据模板创建虚拟机 复制并替换

取决于特定的 VM 模板。

复制并替换

取决于特定的 VM 模板。

构建新 vApp 复制并替换

取决于特定的 VM 模板。

复制并替换

取决于特定的 VM 模板。

从 OVF 软件包创建 vApp 新建 TPM 设备

上载具有 TPM RASD 部分的 OVF 会将新的 TPM 设备附加到每个具有已定义 TPM 的 VM。

新建 TPM 设备

上载具有 TPM RASD 部分的 OVF 会将新的 TPM 设备附加到每个具有已定义 TPM 的 VM。

根据 vApp 模板创建 vApp 复制并替换

取决于 vApp 模板。

复制并替换

取决于 vApp 模板。

将虚拟机作为 vApp 从 vCenter Server 导入 复制 复制
将虚拟机添加到 vApp 新建 TPM 设备 新建 TPM 设备
将模板中的 VM 添加到 vApp 复制并替换

取决于特定的 VM 模板。

复制并替换

取决于特定的 VM 模板。

将虚拟机复制到其他 vApp 复制 复制并替换
将虚拟机移动到其他 vApp 复制 复制

将停止的 vApp 复制到另一个 VDC

复制已启动的 vApp

复制

适用于 vApp 中的所有 TPM 设备。

复制并替换

适用于 vApp 中的所有 TPM 设备。

将 vApp 作为 vApp 模板保存到目录 复制并替换 复制并替换
从 OVF 文件创建 vApp 模板 新建 TPM 设备

上载具有 TPM RASD 部分的 OVF 会将新的 TPM 设备附加到每个具有已定义 TPM 的 VM。

新建 TPM 设备

上载具有 TPM RASD 部分的 OVF 会将新的 TPM 设备附加到每个具有已定义 TPM 的 VM。

如果未在 API 中指定是复制还是替换 TPM 设备,则默认情况下,VMware Cloud Director 会复制 TPM。在 UI 中对 vApp 执行操作时,用于复制或替换 TPM 的选项适用于 vApp 中的所有 VM。

当从包含 TPM 的 vApp 模板实例化 VM 时,必须考虑一些注意事项。
  • 如果模板是使用 VMware Cloud Director 创建的,则在捕获模板时,实例化将根据所选 TPM 置备选项复制或替换 TPM 设备。
  • 如果模板是通过上载 OVF 或 OVA 创建的,则实例化会替换 TPM 设备。
  • 如果模板是通过从 vCenter Server 导入 VM 创建的,则实例化会复制 TPM 设备。
  • 如果目标 vCenter Server 满足 TPM 要求,则可以跨 vCenter Server 实例对 VMware Cloud Director 在实例化期间替换 TPM 设备的模板执行实例化。

使用 VMware Cloud Director API 时,如果目标 vCenter Server 实例包含与 VM 关联的密钥提供程序,则 VMware Cloud Director 支持具有 TPM 设备的 VM 使用 moveVApp API。moveVApp API 没有共享存储要求。涉及移动 vApp 的其他操作有共享存储要求。

将包含 TPM 设备的 VM 作为 vApp 从 vCenter Server 实例导入会保留 TPM 设备以用于 copymove 操作。

有关 vCenter Server 的 TPM 必备条件,请参见 vSphere 安全性指南中的创建具有虚拟可信平台模块的虚拟机向现有虚拟机添加虚拟可信平台模块