Ab VMware Cloud Director 10.4.2 können Sie VMs und vApps mit TPM-Geräten (Trusted Platform Module) erstellen, kopieren und bearbeiten. Bei einem TPM handelt es sich um eine softwarebasierte Darstellung eines physischen Trusted Platform Module 2.0-Chips. Ein TPM fungiert wie jedes andere virtuelle Gerät.
TPMs bieten hardwarebasierte sicherheitsbezogene Funktionen wie zufallsbasierte Zahlengenerierung, Nachweise, Schlüsselgenerierung und vieles mehr. Wenn Sie einer VM ein TPM hinzufügen, ermöglicht das TPM dem Gastbetriebssystem, private Schlüssel zu erstellen und zu speichern. Das Gastbetriebssystem kann nicht auf diese Schlüssel zugreifen, wodurch die Angriffsfläche der VM verringert wird. In der Regel wirkt sich eine Gefährdung des Gastbetriebssystems auch auf dessen geheime Schlüssel aus. Die Aktivierung eines TPM verringert dieses Risiko jedoch deutlich. Nur das Gastbetriebssystem kann diese Schlüssel zum Verschlüsseln oder Signieren verwenden. Mit einem angehängten TPM kann ein Client die Identität der virtuellen Maschine remote bestätigen und die ausgeführte Software überprüfen.
Ein TPM benötigt keinen physischen Trusted Platform Module 2.0-Chip auf dem ESXi-Host. Aus Sicht der VM stellt ein TPM ein virtuelles Gerät dar. Sie können ein TPM zu einer neuen oder einer vorhandenen VM hinzufügen. Zum Schutz wichtiger TPM-Daten ist ein TPM auf die VM-Verschlüsselung angewiesen. Weiterhin müssen Sie einen Schlüsselanbieter konfigurieren. Wenn Sie ein TPM konfigurieren, werden die Dateien der VM verschlüsselt, die Festplatten hingegen nicht.
Mandantenrelevante Informationen finden Sie im Thema Arbeiten mit virtuellen Maschinen.
- Anforderungen an virtuelle Maschinen
- EFI-Firmware
- VM-Hardwareversion 14 und höher
- Anforderungen an Komponenten
- vCenter Server 6.7 und höher für Windows-VMs vCenter Server 7.0 Update 2 und höher für Linux-VMs
- Nativer, Standard- oder vertrauenswürdiger Schlüsselanbieter, der für vCenter Server konfiguriert ist. Weitere Informationen finden Sie in den Kapiteln Konfigurieren und Verwalten eines Standardschlüsselanbieters, Konfigurieren und Verwalten von vSphere Native Key Provider oder Vertrauenswürdige Infrastruktur – Übersicht in der Dokumentation zu VMware vSphere Security.
- Unterstützung folgender Gastbetriebssysteme
- Linux
- Windows Server 2008 und höher
- Windows 7 und höher
- Kopieren einer VM
- Verschieben einer VM
- Kopieren einer vApp
- Verschieben einer vApp
- Instanziieren einer vApp-Vorlage, wenn die Vorlage das TPM während der Instanziierung kopiert.
- Speichern einer vApp als vApp-Vorlage in einem Katalog
- Hinzufügen einer eigenständigen VM zu einem Katalog
- Erstellen einer vApp-Vorlage aus einer OVF-Datei
- Importieren einer VM aus vCenter Server
- Der zum Verschlüsseln jeder VM verwendete Schlüsselanbieter muss auf der vCenter Server-Zielinstanz unter demselben Namen registriert sein.
- Die VM und die vCenter Server-Zielinstanz befinden sich im selben freigegebenen Speicher. Alternativ muss schnelle vCenter Server-übergreifende vApp-Instanziierung aktiviert werden. Informationen zur schnellen vCenter Server-übergreifenden vApp-Instanziierung finden Sie in den Versionshinweisen zu VMware Cloud Director 10.4.
- Speichern einer vApp als vApp-Vorlage in einem Katalog
- Hinzufügen einer eigenständigen VM zu einem Katalog
- Erstellen einer vApp-Vorlage aus einer OVF-Datei
- Importieren einer VM aus vCenter Server als Vorlage
- Kopieren einer VM
- Kopieren einer vApp
- vApp verfassen
Vorgang | vCenter Server 7.x | vCenter Server 8.x |
---|---|---|
Erstellen einer eigenständigen virtuellen Maschine | Neues TPM-Gerät | Neues TPM-Gerät |
Erstellen einer virtuellen Maschine aus einer Vorlage | Kopieren und ersetzen Hängt von der jeweiligen VM-Vorlage ab. |
Kopieren und ersetzen Hängt von der jeweiligen VM-Vorlage ab. |
Erstellen einer neuen vApp | Kopieren und ersetzen Hängt von den speziellen VM-Vorlagen ab. |
Kopieren und ersetzen Hängt von den speziellen VM-Vorlagen ab. |
Erstellen einer vApp von einem OVF-Paket aus | Neues TPM-Gerät Beim Hochladen einer OVF-Datei mit einem TPM-Abschnitt vom Typ |
Neues TPM-Gerät Beim Hochladen einer OVF-Datei mit einem TPM-Abschnitt vom Typ |
Erstellen einer vApp aus einer vApp-Vorlage | Kopieren und ersetzen Hängt von der vApp-Vorlage ab. |
Kopieren und ersetzen Hängt von der vApp-Vorlage ab. |
Importieren einer virtuellen Maschine aus vCenter Server als vApp | Kopieren | Kopieren |
Hinzufügen einer virtuellen Maschine zu einer vApp | Neues TPM-Gerät | Neues TPM-Gerät |
Hinzufügen einer VM aus einer Vorlage zu einer vApp | Kopieren und ersetzen Hängt von der jeweiligen VM-Vorlage ab. |
Kopieren und ersetzen Hängt von der jeweiligen VM-Vorlage ab. |
Kopieren einer virtuellen Maschine in eine andere vApp | Kopieren | Kopieren und ersetzen |
Verschieben einer virtuellen Maschine in eine andere vApp | Kopieren | Kopieren |
Kopieren Gilt für alle TPM-Geräte innerhalb der vApp. |
Kopieren und ersetzen Gilt für alle TPM-Geräte innerhalb der vApp. |
|
Speichern einer vApp als vApp-Vorlage in einem Katalog | Kopieren und ersetzen | Kopieren und ersetzen |
Erstellen einer vApp-Vorlage aus einer OVF-Datei | Neues TPM-Gerät Beim Hochladen einer OVF-Datei mit einem TPM-Abschnitt vom Typ |
Neues TPM-Gerät Beim Hochladen einer OVF-Datei mit einem TPM-Abschnitt vom Typ |
Wenn Sie nicht angeben, ob ein TPM-Gerät in der API kopiert oder ersetzt werden soll, kopiert VMware Cloud Director das TPM standardmäßig. Beim Durchführen von Vorgängen für vApps auf der Benutzeroberfläche wird die Option zum Kopieren oder Ersetzen von TPM für alle VMs innerhalb der vApp angewendet.
- Wenn die Vorlage mithilfe von VMware Cloud Director erstellt wurde, kopiert oder ersetzt die Instanziierung das TPM-Gerät basierend auf der Option, die für TPM-Bereitstellung beim Erfassen der Vorlage ausgewählt wurde.
- Wenn die Vorlage durch Hochladen einer OVF- oder OVA-Datei erstellt wurde, ersetzt die Instanziierung das TPM-Gerät.
- Wenn die Vorlage durch Importieren einer VM aus vCenter Server erstellt wurde, kopiert die Instanziierung das TPM-Gerät.
- Wenn der Ziel-vCenter Server die TPM-Anforderungen erfüllt, können Sie Instanziierungen in vCenter Server-Instanzen für Vorlagen durchführen, deren TPM-Geräte während der Instanziierung von VMware Cloud Director ersetzt werden.
Bei Verwendung der VMware Cloud Director-API unterstützt VMware Cloud Director die moveVApp-API für VMs mit einem TPM-Gerät, wenn die vCenter Server-Zielinstanz den mit der VM verknüpften Schlüsselanbieter enthält. Für die moveVApp-API gibt es keine Anforderung an den freigegebenen Speicher. Es gibt Anforderungen an den freigegebenen Speicher für andere Vorgänge, die das Verschieben einer vApp beinhalten.
Durch den Import einer VM mit einem TPM-Gerät aus einer vCenter Server-Instanz als vApp wird das TPM-Gerät für die copy
- und move
-Vorgänge beibehalten.
Informationen zu den TPM-Voraussetzungen für vCenter Server finden Sie in den Abschnitten zu den Voraussetzungen unter Erstellen einer virtuellen Maschine mit einem Virtual Trusted Platform Module oder Hinzufügen eines Virtual Trusted Platform Module zu einer vorhandenen virtuellen Maschine im Handbuch zu vSphere Security.