除了可在物理机上运行的操作外,VMware Cloud Director 虚拟机 (VM) 还支持虚拟基础架构操作,如创建虚拟机状态的快照,以及将虚拟机从一台主机移到另一台主机。

与物理机一样,虚拟机是运行操作系统和应用程序的软件计算机。虚拟机包含一组规范和配置文件,并由主机的物理资源提供支持。每个虚拟机都具有一些虚拟设备,这些设备可提供与物理硬件相同的功能,但可移植性更强、更安全且更易于管理。

虚拟机支持 IPv6 连接。可以将 IPv6 地址分配给连接到 IPv6 网络的虚拟机。

重要说明: 该文档涵盖从卡片视图使用虚拟机的步骤,且假定您具有多个虚拟数据中心 (VDC)。从网格视图也可以完成同样的过程,但步骤可能会略有不同。

使用可信平台模块保护虚拟机

可以创建、复制和编辑具有可信平台模块 (TPM) 设备的虚拟机。TPM 是物理可信平台模块 2.0 芯片的基于软件的表示形式。TPM 充当任何其他虚拟设备。

TPM 提供基于硬件的安全相关功能,如随机数生成、证明、密钥生成等。将 TPM 添加到 VM 时,TPM 使客户机操作系统能够创建和存储私钥。客户机操作系统无法访问这些密钥,这会减少 VM 攻击面。通常,对于安全受到危害的客户机操作系统,其密钥的安全也会受到危害,但启用 TPM 会在很大程度上降低此风险。只有客户机操作系统才能使用这些密钥进行加密或签名。通过连接 TPM,客户端可以远程证明 VM 的身份,并验证其正在运行的软件。

TPM 不要求 ESXi 主机上存在可信平台模块 2.0 物理芯片。从 VM 的角度来看,TPM 是一个虚拟设备。可以将 TPM 添加到新 VM,也可以添加到现有 VM。要保护重要的 TPM 数据,TPM 依赖于 VM 加密,并且您必须配置密钥提供程序。配置 TPM 时,VM 文件会进行加密,而不是磁盘加密。

要将 TPM 设备添加到 VM,您的环境必须满足以下要求:
  • VM 已关闭电源。
  • VM 没有任何快照。
  • 支持 TPM 的 VDC 支持 VM。
  • VM 固件为 EFI。
  • VM 硬件版本为版本 14 或更高版本。
  • 客户机操作系统与 TPM 兼容。
要从 VM 中移除 TPM 设备,您的环境必须满足以下要求:
  • VM 已关闭电源。
  • VM 没有任何快照。

要跨 vCenter 实例对具有 TPM 的 VM 执行某些操作,必须确认您的环境满足某些必备条件。

操作 必备条件
复制 VM
  • 用于加密每个 VM 的密钥提供程序必须在目标 vCenter 实例上以相同的名称注册。
  • 确认 VM 和目标 vCenter 实例位于同一个共享存储上,或者启用了快速跨 vCenter vApp 实例化。请参见 VMware Cloud Director 10.4 发行说明中的快速跨 vCenter vApp 实例化信息。
移动 VM
复制 vApp
移动 vApp
从模板创建 VM
将 vApp 作为 vApp 模板保存到目录
将独立 VM 添加到目录
从 OVF 文件创建 vApp 模板
vCenter 导入 VM
对于具有 TPM 设备的 VM,当目标目录使用具有多个支持的 vCenter 实例的组织中的任何可用存储时, VMware Cloud Director 不支持以下操作:
  • 将 vApp 作为 vApp 模板保存到目录
  • 将独立 VM 添加到目录
  • 从 OVF 文件创建 vApp 模板
  • 将 VM 作为模板从 vCenter 导入
如果目标 vCenter 实例的版本为 8.0 或更高版本,则可以在执行以下操作期间替换 VM 的 TPM 设备:
  • 复制 VM
  • 复制 vApp
  • 编写 vApp
表 1. TPM 设备选项取决于 vCenter 版本
操作 vCenter 7.x vCenter 8.x
在 VMware Cloud Director Tenant Portal 中创建独立虚拟机 新建 TPM 设备 新建 TPM 设备
从模板创建 VM 复制并替换

取决于特定的 VM 模板。

复制并替换

取决于特定的 VM 模板。

使用 VM 模板创建 vApp 复制并替换

取决于特定的 VM 模板。

复制并替换

取决于特定的 VM 模板。

从 OVF 软件包创建 vApp 新建 TPM 设备

上载具有 TPM RASD 部分的 OVF 会将新的 TPM 设备附加到每个具有已定义 TPM 的 VM。

新建 TPM 设备

上载具有 TPM RASD 部分的 OVF 会将新的 TPM 设备附加到每个具有已定义 TPM 的 VM。

从模板创建 vApp 复制并替换

取决于 vApp 模板。

复制并替换

取决于 vApp 模板。

将 VM 作为 vApp 从 vCenter Server 导入 复制 复制
将新 VM 添加到 vApp 新建 TPM 设备 新建 TPM 设备
将模板中的 VM 添加到 vApp 复制并替换

取决于特定的 VM 模板。

复制并替换

取决于特定的 VM 模板。

将 VM 复制到其他 vApp 复制 复制并替换
将 VM 移动到其他 vApp 复制 复制

将停止的 vApp 复制到另一个 VDC

在 VMware Cloud Director Tenant Portal 中复制已启动的 vApp

复制

适用于 vApp 中的所有 TPM 设备。

复制并替换

适用于 vApp 中的所有 TPM 设备。

在 VMware Cloud Director Tenant Portal 中将 vApp 作为 vApp 模板保存到目录 复制并替换 复制并替换
使用 VMware Cloud Director Tenant Portal 基于 OVF 文件创建 vApp 模板 新建 TPM 设备

上载具有 TPM RASD 部分的 OVF 会将新的 TPM 设备附加到每个具有已定义 TPM 的 VM。

新建 TPM 设备

上载具有 TPM RASD 部分的 OVF 会将新的 TPM 设备附加到每个具有已定义 TPM 的 VM。

如果未在 API 中指定是复制还是替换 TPM 设备,则默认情况下,VMware Cloud Director 会复制 TPM。在 UI 中对 vApp 执行操作时,用于复制或替换 TPM 的选项适用于 vApp 中的所有 VM。

当从包含 TPM 的 vApp 模板实例化 VM 时,必须考虑一些注意事项。
  • 如果模板是使用 VMware Cloud Director 创建的,则在捕获模板时,实例化将根据所选 TPM 置备选项复制或替换 TPM 设备。
  • 如果模板是通过上载 OVF 或 OVA 创建的,则实例化会替换 TPM 设备。
  • 如果模板是通过从 vCenter 导入 VM 创建的,则实例化会复制 TPM 设备。
  • 如果目标 vCenter 满足 TPM 要求,则可以跨 vCenter 实例对 VMware Cloud Director 在实例化期间替换 TPM 设备的模板执行实例化。

如果订阅包含具有 TPM 设备的模板的目录,则订阅者的 VMware Cloud Director 版本必须为 10.4.2 或更高版本。如果订阅者的 VMware Cloud Director 版本为 10.4.1 或更低版本,则模板不包含 TPM 设备。

有关 vCenter 的 TPM 必备条件,请参见 vSphere 安全性指南中的创建具有虚拟可信平台模块的虚拟机向现有虚拟机添加虚拟可信平台模块