A partir de VMware Cloud Director 10.4.2, puede crear, copiar y editar máquinas virtuales y vApps con dispositivos de Módulo de plataforma de confianza (TPM). Un TPM es una representación basada en software de un chip de módulo de plataforma de confianza 2.0 físico. Un TPM actúa como cualquier otro dispositivo virtual.
Los TPM proporcionan funciones basadas en hardware relacionadas con la seguridad, como la generación aleatoria de números, la atestación y la generación de claves, entre otras. Cuando se agrega un TPM a una máquina virtual, el TPM permite que el sistema operativo invitado cree y almacene claves privadas. El sistema operativo invitado no puede acceder a estas claves, lo que reduce la superficie de ataque de la máquina virtual. Por lo general, al poner en peligro el sistema operativo invitado, se compromete su información confidencial, pero la habilitación de un TPM reduce este riesgo en gran medida. Solo el sistema operativo invitado puede utilizar estas claves para cifrar o firmar. Con un TPM asociado, un cliente puede atestar de forma remota la identidad de la máquina virtual y comprobar el software que está en ejecución.
Un TPM no requiere un chip físico de Módulo de plataforma de confianza 2.0 presente en el host ESXi. Desde la perspectiva de la máquina virtual, un TPM es un dispositivo virtual. Se puede agregar TPM a una máquina virtual nueva o existente. Para proteger los datos esenciales de TPM, un TPM depende del cifrado de la máquina virtual y usted deberá configurar un proveedor de claves. Al configurar un TPM, se cifran los archivos de la máquina virtual pero no los discos.
Para obtener información relevante para los tenants, consulte Trabajar con máquinas virtuales.
- Requisitos de la máquina virtual
- Firmware EFI.
- Hardware de máquina virtual versión 14 y posterior
- Requisitos de los componentes
- vCenter 6.7 y versiones posteriores para máquinas virtuales Windows, vCenter 7.0 Update 2 y versiones posteriores para máquinas virtuales Linux
- Proveedor de claves nativo, estándar o de confianza configurado para vCenter. Consulte los capítulos Configurar y administrar un proveedor de claves estándar, Configurar y administrar vSphere Native Key Provider o Información general sobre la infraestructura de confianza en la documentación sobre seguridad de VMware vSphere.
- Compatibilidad con sistemas operativos invitados
- Linux
- Windows Server 2008 y versiones posteriores
- Windows 7 y versiones posteriores
- Copiar una máquina virtual
- Mover una máquina virtual
- Copiar una vApp
- Mover una vApp
- Cree una instancia de una plantilla de vApp cuando la plantilla copie el TPM durante la creación de la instancia.
- Guardar una vApp como plantilla de vApp en un catálogo
- Agregar una máquina virtual independiente a un catálogo
- Crear una plantilla de vApp a partir de un archivo OVF
- Importar una máquina virtual desde vCenter
- El proveedor de claves utilizado para cifrar cada máquina virtual debe estar registrado en la instancia de vCenter de destino con el mismo nombre.
- La máquina virtual y la instancia de vCenter de destino se encuentran en el mismo almacenamiento compartido. Como alternativa, se debe activar la creación rápida de instancias de vApp entre instancias de vCenter. Consulte la información de creación rápida de instancias de vApp entre instancias de vCenter en las Notas de la versión de VMware Cloud Director 10.4.
- Guardar una vApp como plantilla de vApp en un catálogo
- Agregar una máquina virtual independiente a un catálogo
- Crear una plantilla de vApp a partir de un archivo OVF
- Importar una máquina virtual desde vCenter como una plantilla
- Copiar una máquina virtual
- Copiar una vApp
- Componer una vApp
| Operación | vCenter 7.x | vCenter 8.x |
|---|---|---|
| Crear una máquina virtual independiente | Nuevo dispositivo TPM | Nuevo dispositivo TPM |
| Crear una máquina virtual a partir de una plantilla | Copiar y reemplazar Depende de la plantilla de máquina virtual específica. |
Copiar y reemplazar Depende de la plantilla de máquina virtual específica. |
| Generar una nueva vApp | Copiar y reemplazar Depende de las plantillas de máquina virtual específicas. |
Copiar y reemplazar Depende de las plantillas de máquina virtual específicas. |
| Crear una vApp a partir de un paquete OVF | Nuevo dispositivo TPM Al cargar un OVF con una sección |
Nuevo dispositivo TPM Al cargar un OVF con una sección |
| Crear una vApp a partir de una plantilla de vApp | Copiar y reemplazar Depende de la plantilla de vApp. |
Copiar y reemplazar Depende de la plantilla de vApp. |
| Importar una máquina virtual desde vCenter Server como una vApp | Copiar | Copiar |
| Agregar una máquina virtual a una vApp | Nuevo dispositivo TPM | Nuevo dispositivo TPM |
| Agregar una máquina virtual desde una plantilla a una vApp | Copiar y reemplazar Depende de la plantilla de máquina virtual específica. |
Copiar y reemplazar Depende de la plantilla de máquina virtual específica. |
| Copiar una máquina virtual en otra vApp | Copiar | Copiar y reemplazar |
| Mover una máquina virtual a otra vApp | Copiar | Copiar |
| Copiar Se aplica a todos los dispositivos TPM dentro de la vApp. |
Copiar y reemplazar Se aplica a todos los dispositivos TPM dentro de la vApp. |
|
| Guardar una vApp como plantilla de vApp en un catálogo | Copiar y reemplazar | Copiar y reemplazar |
| Crear una plantilla de vApp a partir de un archivo OVF | Nuevo dispositivo TPM Al cargar un OVF con una sección |
Nuevo dispositivo TPM Al cargar un OVF con una sección |
Si no especifica si se debe copiar o reemplazar un dispositivo TPM en la API, VMware Cloud Director copia el TPM de forma predeterminada. Al realizar operaciones en vApps en la interfaz de usuario, la opción de copiar o reemplazar el TPM se aplica a todas las máquinas virtuales dentro de la vApp.
- Si la plantilla se creó mediante VMware Cloud Director, la creación de instancias copia o reemplaza el dispositivo TPM en función de la opción Aprovisionamiento de TPM cuando se capturó la plantilla.
- Si la plantilla se creó cargando un OVF u OVA, la creación de instancias reemplaza el dispositivo TPM.
- Si la plantilla se creó mediante la importación de una máquina virtual desde vCenter, la creación de instancias copia el dispositivo TPM.
- Si el vCenter de destino cumple los requisitos de TPM, puede crear instancias entre instancias de vCenter para plantillas para las que VMware Cloud Director reemplaza a los dispositivos TPM durante la creación de instancias.
Cuando se utiliza la API de VMware Cloud Director, VMware Cloud Director admite la API de moveVApp para máquinas virtuales con un dispositivo TPM si la instancia de vCenter de destino contiene el proveedor de claves asociado con la máquina virtual. No hay ningún requisito de almacenamiento compartido para la API de moveVApp. Existen requisitos de almacenamiento compartido para otras operaciones que implican mover una vApp.
La importación de una máquina virtual que contiene un dispositivo TPM desde una instancia de vCenter como una vApp conserva el dispositivo TPM para las operaciones de copy y move.
Para conocer los requisitos previos de TPM para vCenter, consulte las secciones de requisitos previos en Crear una máquina virtual con un módulo de plataforma de confianza virtual o Agregar un módulo de plataforma de confianza virtual a una máquina virtual existente en la guía de seguridad de vSphere.
