Ab VMware Cloud Director 10.4.2 können Sie VMs und vApps mit TPM-Geräten (Trusted Platform Module) erstellen, kopieren und bearbeiten. Bei einem TPM handelt es sich um eine softwarebasierte Darstellung eines physischen Trusted Platform Module 2.0-Chips. Ein TPM fungiert wie jedes andere virtuelle Gerät.

TPMs bieten hardwarebasierte sicherheitsbezogene Funktionen wie zufallsbasierte Zahlengenerierung, Nachweise, Schlüsselgenerierung und vieles mehr. Wenn Sie einer VM ein TPM hinzufügen, ermöglicht das TPM dem Gastbetriebssystem, private Schlüssel zu erstellen und zu speichern. Das Gastbetriebssystem kann nicht auf diese Schlüssel zugreifen, wodurch die Angriffsfläche der VM verringert wird. In der Regel wirkt sich eine Gefährdung des Gastbetriebssystems auch auf dessen geheime Schlüssel aus. Die Aktivierung eines TPM verringert dieses Risiko jedoch deutlich. Nur das Gastbetriebssystem kann diese Schlüssel zum Verschlüsseln oder Signieren verwenden. Mit einem angehängten TPM kann ein Client die Identität der virtuellen Maschine remote bestätigen und die ausgeführte Software überprüfen.

Ein TPM benötigt keinen physischen Trusted Platform Module 2.0-Chip auf dem ESXi-Host. Aus Sicht der VM stellt ein TPM ein virtuelles Gerät dar. Sie können ein TPM zu einer neuen oder einer vorhandenen VM hinzufügen. Zum Schutz wichtiger TPM-Daten ist ein TPM auf die VM-Verschlüsselung angewiesen. Weiterhin müssen Sie einen Schlüsselanbieter konfigurieren. Wenn Sie ein TPM konfigurieren, werden die Dateien der VM verschlüsselt, die Festplatten hingegen nicht.

Mandantenrelevante Informationen finden Sie unter Arbeiten mit virtuellen Maschinen.

Zum Hinzufügen eines TPM-Geräts zu einer VM muss Ihre vSphere-Umgebung bestimmte Anforderungen erfüllen.
Zum Durchführen bestimmter Vorgänge für VMs mit TPM über vCenter-Instanzen hinweg müssen Sie sicherstellen, dass Ihre Umgebung bestimmte Voraussetzungen erfüllt. Zu den Vorgängen gehören:
  • Kopieren einer VM
  • Verschieben einer VM
  • Kopieren einer vApp
  • Verschieben einer vApp
  • Instanziieren einer vApp-Vorlage, wenn die Vorlage das TPM während der Instanziierung kopiert.
  • Speichern einer vApp als vApp-Vorlage in einem Katalog
  • Hinzufügen einer eigenständigen VM zu einem Katalog
  • Erstellen einer vApp-Vorlage aus einer OVF-Datei
  • Importieren einer VM aus vCenter
Zum Durchführen der Vorgänge über vCenter-Instanzen hinweg muss Ihre Umgebung die folgenden Kriterien erfüllen:
  • Der zum Verschlüsseln jeder VM verwendete Schlüsselanbieter muss auf der vCenter-Zielinstanz unter demselben Namen registriert sein.
  • Die VM und die vCenter-Zielinstanz befinden sich im selben freigegebenen Speicher. Alternativ muss schnelle vCenter-übergreifende vApp-Instanziierung aktiviert werden. Informationen zur schnellen vCenter-übergreifenden vApp-Instanziierung finden Sie in den Versionshinweisen zu VMware Cloud Director 10.4.
Wenn der Zielkatalog für VMs mit einem TPM-Gerät den gesamten verfügbaren Speicher in einer Organisation mit mehreren zugrunde liegenden vCenter-Instanzen verwendet, bietet VMware Cloud Director keine Unterstützung für die folgende Vorgänge:
  • Speichern einer vApp als vApp-Vorlage in einem Katalog
  • Hinzufügen einer eigenständigen VM zu einem Katalog
  • Erstellen einer vApp-Vorlage aus einer OVF-Datei
  • Importieren einer VM aus vCenter als Vorlage
Wenn auf der vCenter-Zielinstanz Version 8.0 oder höher verwendet wird, können Sie das TPM-Gerät einer VM während der folgenden Vorgänge ersetzen:
  • Kopieren einer VM
  • Kopieren einer vApp
  • vApp verfassen
Tabelle 1. TPM-Geräteoptionen je nach vCenter-Version
Vorgang vCenter 7.x vCenter 8.x
Erstellen einer eigenständigen virtuellen Maschine Neues TPM-Gerät Neues TPM-Gerät
Erstellen einer virtuellen Maschine aus einer Vorlage Kopieren und ersetzen

Hängt von der jeweiligen VM-Vorlage ab.

Kopieren und ersetzen

Hängt von der jeweiligen VM-Vorlage ab.

Erstellen einer neuen vApp Kopieren und ersetzen

Hängt von den speziellen VM-Vorlagen ab.

Kopieren und ersetzen

Hängt von den speziellen VM-Vorlagen ab.

Erstellen einer vApp von einem OVF-Paket aus Neues TPM-Gerät

Beim Hochladen einer OVF-Datei mit einem TPM-Abschnitt vom Typ RASD wird ein neues TPM-Gerät an jede VM mit einem definierten TPM angehängt.

Neues TPM-Gerät

Beim Hochladen einer OVF-Datei mit einem TPM-Abschnitt vom Typ RASD wird ein neues TPM-Gerät an jede VM mit einem definierten TPM angehängt.

Erstellen einer vApp aus einer vApp-Vorlage Kopieren und ersetzen

Hängt von der vApp-Vorlage ab.

Kopieren und ersetzen

Hängt von der vApp-Vorlage ab.

Importieren einer virtuellen Maschine aus vCenter Server als vApp Kopieren Kopieren
Hinzufügen einer virtuellen Maschine zu einer vApp Neues TPM-Gerät Neues TPM-Gerät
Hinzufügen einer VM aus einer Vorlage zu einer vApp Kopieren und ersetzen

Hängt von der jeweiligen VM-Vorlage ab.

Kopieren und ersetzen

Hängt von der jeweiligen VM-Vorlage ab.

Kopieren einer virtuellen Maschine in eine andere vApp Kopieren Kopieren und ersetzen
Verschieben einer virtuellen Maschine in eine andere vApp Kopieren Kopieren

Kopieren einer angehaltenen vApp in ein anderes VDC

Kopieren einer eingeschalteten vApp

Kopieren

Gilt für alle TPM-Geräte innerhalb der vApp.

Kopieren und ersetzen

Gilt für alle TPM-Geräte innerhalb der vApp.

Speichern einer vApp als vApp-Vorlage in einem Katalog Kopieren und ersetzen Kopieren und ersetzen
Erstellen einer vApp-Vorlage aus einer OVF-Datei Neues TPM-Gerät

Beim Hochladen einer OVF-Datei mit einem TPM-Abschnitt vom Typ RASD wird ein neues TPM-Gerät an jede VM mit einem definierten TPM angehängt.

Neues TPM-Gerät

Beim Hochladen einer OVF-Datei mit einem TPM-Abschnitt vom Typ RASD wird ein neues TPM-Gerät an jede VM mit einem definierten TPM angehängt.

Wenn Sie nicht angeben, ob ein TPM-Gerät in der API kopiert oder ersetzt werden soll, kopiert VMware Cloud Director das TPM standardmäßig. Beim Durchführen von Vorgängen für vApps auf der Benutzeroberfläche wird die Option zum Kopieren oder Ersetzen von TPM für alle VMs innerhalb der vApp angewendet.

Bei Instanziieren einer VM aus einer vApp-Vorlage mit einem TPM-Gerät müssen Sie einige Überlegungen berücksichtigen.
  • Wenn die Vorlage mithilfe von VMware Cloud Director erstellt wurde, kopiert oder ersetzt die Instanziierung das TPM-Gerät basierend auf der Option, die für TPM-Bereitstellung beim Erfassen der Vorlage ausgewählt wurde.
  • Wenn die Vorlage durch Hochladen einer OVF- oder OVA-Datei erstellt wurde, ersetzt die Instanziierung das TPM-Gerät.
  • Wenn die Vorlage durch Importieren einer VM aus vCenter erstellt wurde, kopiert die Instanziierung das TPM-Gerät.
  • Wenn der Ziel-vCenter die TPM-Anforderungen erfüllt, können Sie Instanziierungen in vCenter-Instanzen für Vorlagen durchführen, deren TPM-Geräte während der Instanziierung von VMware Cloud Director ersetzt werden.

Bei Verwendung der VMware Cloud Director-API unterstützt VMware Cloud Director die moveVApp-API für VMs mit einem TPM-Gerät, wenn die vCenter-Zielinstanz den mit der VM verknüpften Schlüsselanbieter enthält. Für die moveVApp-API gibt es keine Anforderung an den freigegebenen Speicher. Es gibt Anforderungen an den freigegebenen Speicher für andere Vorgänge, die das Verschieben einer vApp beinhalten.

Durch den Import einer VM mit einem TPM-Gerät aus einer vCenter-Instanz als vApp wird das TPM-Gerät für die copy- und move-Vorgänge beibehalten.

Informationen zu den TPM-Voraussetzungen für vCenter finden Sie in den Abschnitten zu den Voraussetzungen unter Erstellen einer virtuellen Maschine mit einem Virtual Trusted Platform Module oder Hinzufügen eines Virtual Trusted Platform Module zu einer vorhandenen virtuellen Maschine im Handbuch zu vSphere Security.