A partir de VMware Cloud Director 10.4.2, puede crear, copiar y editar máquinas virtuales y vApps con dispositivos de Módulo de plataforma de confianza (TPM). Un TPM es una representación basada en software de un chip de módulo de plataforma de confianza 2.0 físico. Un TPM actúa como cualquier otro dispositivo virtual.

Los TPM proporcionan funciones basadas en hardware relacionadas con la seguridad, como la generación aleatoria de números, la atestación y la generación de claves, entre otras. Cuando se agrega un TPM a una máquina virtual, el TPM permite que el sistema operativo invitado cree y almacene claves privadas. El sistema operativo invitado no puede acceder a estas claves, lo que reduce la superficie de ataque de la máquina virtual. Por lo general, al poner en peligro el sistema operativo invitado, se compromete su información confidencial, pero la habilitación de un TPM reduce este riesgo en gran medida. Solo el sistema operativo invitado puede utilizar estas claves para cifrar o firmar. Con un TPM asociado, un cliente puede atestar de forma remota la identidad de la máquina virtual y comprobar el software que está en ejecución.

Un TPM no requiere un chip físico de Módulo de plataforma de confianza 2.0 presente en el host ESXi. Desde la perspectiva de la máquina virtual, un TPM es un dispositivo virtual. Se puede agregar TPM a una máquina virtual nueva o existente. Para proteger los datos esenciales de TPM, un TPM depende del cifrado de la máquina virtual y usted deberá configurar un proveedor de claves. Al configurar un TPM, se cifran los archivos de la máquina virtual pero no los discos.

Para obtener información relevante para los tenants, consulte el tema Trabajar con máquinas virtuales.

Para agregar un dispositivo TPM a una máquina virtual, el entorno de vSphere debe cumplir ciertos requisitos.
Para realizar ciertas operaciones para máquinas virtuales con TPM entre instancias de vCenter Server, debe comprobar que el entorno cumple ciertos requisitos previos. Las operaciones son:
  • Copiar una máquina virtual
  • Mover una máquina virtual
  • Copiar una vApp
  • Mover una vApp
  • Cree una instancia de una plantilla de vApp cuando la plantilla copie el TPM durante la creación de la instancia.
  • Guardar una vApp como plantilla de vApp en un catálogo
  • Agregar una máquina virtual independiente a un catálogo
  • Crear una plantilla de vApp a partir de un archivo OVF
  • Importar una máquina virtual desde vCenter Server
Para realizar las operaciones entre instancias de vCenter Server, el entorno debe cumplir los siguientes criterios:
  • El proveedor de claves utilizado para cifrar cada máquina virtual debe estar registrado en la instancia de vCenter Server de destino con el mismo nombre.
  • La máquina virtual y la instancia de vCenter Server de destino se encuentran en el mismo almacenamiento compartido. Como alternativa, se debe activar la creación rápida de instancias de vApp entre instancias de vCenter Server. Consulte la información de creación rápida de instancias de vApp entre instancias de vCenter Server en las Notas de la versión de VMware Cloud Director 10.4.
Para las máquinas virtuales con un dispositivo TPM cuando el catálogo de destino utiliza el almacenamiento disponible en una organización que tiene varias instancias de vCenter Server de respaldo, VMware Cloud Director no admite las siguientes operaciones:
  • Guardar una vApp como plantilla de vApp en un catálogo
  • Agregar una máquina virtual independiente a un catálogo
  • Crear una plantilla de vApp a partir de un archivo OVF
  • Importar una máquina virtual desde vCenter Server como una plantilla
Si la instancia de vCenter Server de destino es de la versión 8.0 o posterior, puede reemplazar el dispositivo TPM de una máquina virtual durante las siguientes operaciones:
  • Copiar una máquina virtual
  • Copiar una vApp
  • Componer una vApp
Tabla 1. Opciones del dispositivo TPM dependiendo de la versión de vCenter Server
Operación vCenter Server 7.x vCenter Server 8.x
Crear una máquina virtual independiente Nuevo dispositivo TPM Nuevo dispositivo TPM
Crear una máquina virtual a partir de una plantilla Copiar y reemplazar

Depende de la plantilla de máquina virtual específica.

Copiar y reemplazar

Depende de la plantilla de máquina virtual específica.

Generar una nueva vApp Copiar y reemplazar

Depende de las plantillas de máquina virtual específicas.

Copiar y reemplazar

Depende de las plantillas de máquina virtual específicas.

Crear una vApp a partir de un paquete OVF Nuevo dispositivo TPM

Al cargar un OVF con una sección RASD de TPM se asocia un nuevo dispositivo TPM a cada máquina virtual con un TPM definido.

Nuevo dispositivo TPM

Al cargar un OVF con una sección RASD de TPM se asocia un nuevo dispositivo TPM a cada máquina virtual con un TPM definido.

Crear una vApp a partir de una plantilla de vApp Copiar y reemplazar

Depende de la plantilla de vApp.

Copiar y reemplazar

Depende de la plantilla de vApp.

Importar una máquina virtual desde vCenter Server como una vApp Copiar Copiar
Agregar una máquina virtual a una vApp Nuevo dispositivo TPM Nuevo dispositivo TPM
Agregar una máquina virtual desde una plantilla a una vApp Copiar y reemplazar

Depende de la plantilla de máquina virtual específica.

Copiar y reemplazar

Depende de la plantilla de máquina virtual específica.

Copiar una máquina virtual en otra vApp Copiar Copiar y reemplazar
Mover una máquina virtual a otra vApp Copiar Copiar

Copiar una vApp detenida a otro VDC

Copiar una vApp encendida

Copiar

Se aplica a todos los dispositivos TPM dentro de la vApp.

Copiar y reemplazar

Se aplica a todos los dispositivos TPM dentro de la vApp.

Guardar una vApp como plantilla de vApp en un catálogo Copiar y reemplazar Copiar y reemplazar
Crear una plantilla de vApp a partir de un archivo OVF Nuevo dispositivo TPM

Al cargar un OVF con una sección RASD de TPM se asocia un nuevo dispositivo TPM a cada máquina virtual con un TPM definido.

Nuevo dispositivo TPM

Al cargar un OVF con una sección RASD de TPM se asocia un nuevo dispositivo TPM a cada máquina virtual con un TPM definido.

Si no especifica si se debe copiar o reemplazar un dispositivo TPM en la API, VMware Cloud Director copia el TPM de forma predeterminada. Al realizar operaciones en vApps en la interfaz de usuario, la opción de copiar o reemplazar el TPM se aplica a todas las máquinas virtuales dentro de la vApp.

Al crear una instancia de una máquina virtual a partir de una plantilla de vApp que contiene un dispositivo TPM, hay algunas consideraciones que debe tener en cuenta.
  • Si la plantilla se creó mediante VMware Cloud Director, la creación de instancias copia o reemplaza el dispositivo TPM en función de la opción Aprovisionamiento de TPM cuando se capturó la plantilla.
  • Si la plantilla se creó cargando un OVF u OVA, la creación de instancias reemplaza el dispositivo TPM.
  • Si la plantilla se creó mediante la importación de una máquina virtual desde vCenter Server, la creación de instancias copia el dispositivo TPM.
  • Si el vCenter Server de destino cumple los requisitos de TPM, puede crear instancias entre instancias de vCenter Server para plantillas para las que VMware Cloud Director reemplaza a los dispositivos TPM durante la creación de instancias.

Cuando se utiliza la API de VMware Cloud Director, VMware Cloud Director admite la API de moveVApp para máquinas virtuales con un dispositivo TPM si la instancia de vCenter Server de destino contiene el proveedor de claves asociado con la máquina virtual. No hay ningún requisito de almacenamiento compartido para la API de moveVApp. Existen requisitos de almacenamiento compartido para otras operaciones que implican mover una vApp.

La importación de una máquina virtual que contiene un dispositivo TPM desde una instancia de vCenter Server como una vApp conserva el dispositivo TPM para las operaciones de copy y move.

Para conocer los requisitos previos de TPM para vCenter Server, consulte las secciones de requisitos previos en Crear una máquina virtual con un módulo de plataforma de confianza virtual o Agregar un módulo de plataforma de confianza virtual a una máquina virtual existente en la guía de seguridad de vSphere.