À partir de VMware Cloud Director 10.4.2, vous pouvez créer, copier et modifier des machines virtuelles et des vApp avec des périphériques de module de plate-forme sécurisée (TPM, Trusted Platform Module). Un TPM est une représentation logicielle d'une puce TPM 2.0 (Trusted Platform Module, module de plate-forme sécurisée) physique. Un TPM fonctionne comme n'importe quel autre périphérique virtuel.
Les TPM fournissent des fonctions de sécurité basées sur le matériel, telles que la génération de nombres aléatoires, l'attestation, la génération de clés, etc. Lorsque vous ajoutez un TPM à une machine virtuelle, le TPM permet au système d'exploitation invité de créer et de stocker des clés privées. Le système d'exploitation invité ne peut pas accéder à ces clés, ce qui réduit la surface d'attaque de la machine virtuelle. En règle générale, si le système d'exploitation invité est compromis, les données secrètes qui s'y trouvent le sont également, mais l'activation d'un TPM réduit considérablement ce risque. Seul le système d'exploitation invité peut utiliser ces clés pour le chiffrement ou la signature. Avec un TPM attaché, un client peut attester à distance de l'identité de la machine virtuelle et vérifier le logiciel qu'elle exécute.
Un TPM ne nécessite pas qu'une puce TPM 2.0 (Trusted Platform Module, module de plate-forme sécurisée) physique soit présente sur l'hôte ESXi. Du point de vue de la machine virtuelle, un TPM est un périphérique virtuel. Vous pouvez ajouter un TPM aussi bien à une nouvelle machine virtuelle qu'à une machine virtuelle existante. Pour sécuriser les données TPM essentielles, un TPM dépend du chiffrement de la machine virtuelle et vous devez configurer un fournisseur de clés. Lorsque vous configurez un TPM, les fichiers de la VM sont chiffrés, mais pas les disques.
Pour obtenir des informations pertinentes pour les locataires, reportez-vous à la section Utilisation des machines virtuelles.
- Configuration requise pour la machine virtuelle
- Micrologiciel EFI
- Version de matériel 14 ou version ultérieure de machine virtuelle
- Configuration requise pour le composant
- vCenter Server 6.7 ou version ultérieure pour les machines virtuelles Windows, vCenter Server 7.0 Update 2 ou version ultérieure pour les machines virtuelles Linux.
- Fournisseur de clés natif, standard ou approuvé configuré pour vCenter Server. Reportez-vous aux chapitres Configuration et gestion d'un fournisseur de clés standard, Configuration et gestion de vSphere Native Key Provider ou Présentation de l'infrastructure approuvée dans la documentation Sécurité de VMware vSphere.
- Prise en charge du SE invité
- Linux
- Windows Server 2008 et versions ultérieures
- Windows 7 et versions ultérieures
- Copier une VM
- Déplacer une VM
- Copier un vApp
- Déplacer un vApp
- Instancier un modèle de vApp lorsque le modèle copie le TPM lors de l'installation.
- Enregistrer un vApp en tant que modèle de vApp dans un catalogue
- Ajouter une machine virtuelle autonome à un catalogue
- Créer un modèle de vApp à partir d'un fichier OVF
- Importer une machine virtuelle à partir de vCenter Server
- Le fournisseur de clés utilisé pour chiffrer chaque machine virtuelle doit être enregistré sur l'instance de vCenter Server cible sous le même nom.
- La machine virtuelle et l'instance de vCenter Server cible se trouvent sur le même stockage partagé. Vous pouvez également activer l'instanciation rapide de vApp entre systèmes vCenter Server. Reportez-vous aux informations d'instanciation rapide de vApp entre systèmes vCenter Server dans les Notes de mise à jour de VMware Cloud Director 10.4.
- Enregistrer un vApp en tant que modèle de vApp dans un catalogue
- Ajouter une machine virtuelle autonome à un catalogue
- Créer un modèle de vApp à partir d'un fichier OVF
- Importation d'une machine virtuelle à partir d'un système vCenter Server en tant que modèle
- Copier une VM
- Copier un vApp
- Composer un vApp
Opération | vCenter Server 7.x | vCenter Server 8.x |
---|---|---|
Créer une machine virtuelle autonome | Nouveau périphérique TPM | Nouveau périphérique TPM |
Créer une machine virtuelle à partir d'un modèle | Copier et remplacer Dépend du modèle de machine virtuelle spécifique. |
Copier et remplacer Dépend du modèle de machine virtuelle spécifique. |
Construire un nouveau vApp | Copier et remplacer Dépend des modèles de VM spécifiques. |
Copier et remplacer Dépend des modèles de VM spécifiques. |
Créer un vApp à partir d'un module OVF | Nouveau périphérique TPM Le téléchargement d'un fichier OVF avec une section TPM |
Nouveau périphérique TPM Le téléchargement d'un fichier OVF avec une section TPM |
Créer un vApp à partir d'un modèle de vApp | Copier et remplacer Dépend du modèle de vApp. |
Copier et remplacer Dépend du modèle de vApp. |
Importer une machine virtuelle à partir d'un système vCenter Server en tant que vApp | Copier | Copier |
Ajouter une machine virtuelle à un vApp | Nouveau périphérique TPM | Nouveau périphérique TPM |
Ajouter une machine virtuelle à partir d'un modèle à un vApp | Copier et remplacer Dépend du modèle de machine virtuelle spécifique. |
Copier et remplacer Dépend du modèle de machine virtuelle spécifique. |
Copier une machine virtuelle vers un autre vApp | Copier | Copier et remplacer |
Déplacer une machine virtuelle vers un autre vApp | Copier | Copier |
Copier S'applique à tous les périphériques TPM dans le vApp. |
Copier et remplacer S'applique à tous les périphériques TPM dans le vApp. |
|
Enregistrer un vApp en tant que modèle de vApp dans un catalogue | Copier et remplacer | Copier et remplacer |
Créer un modèle de vApp à partir d'un fichier OVF | Nouveau périphérique TPM Le téléchargement d'un fichier OVF avec une section TPM |
Nouveau périphérique TPM Le téléchargement d'un fichier OVF avec une section TPM |
Si vous ne spécifiez pas s'il faut copier ou remplacer un périphérique TPM dans l'API, VMware Cloud Director copie le TPM par défaut. Lors de l'exécution d'opérations sur des vApp dans l'interface utilisateur, l'option de copie ou de remplacement de TPM s'applique à toutes les machines virtuelles du vApp.
- Si le modèle a été créé à l'aide de VMware Cloud Director, l'instanciation copie ou remplace le périphérique TPM en fonction de l'option Provisionnement TPM sélectionnée lorsque le modèle a été capturé.
- Si le modèle a été créé en chargeant un fichier OVF ou OVA, l'instanciation remplace le périphérique TPM.
- Si le modèle a été créé en important une machine virtuelle à partir de vCenter Server, l'instanciation copie le périphérique TPM.
- Si l'instance de vCenter Server cible répond aux conditions requises du TPM, vous pouvez effectuer des instanciations des instances de vCenter Server pour les modèles pour lesquels VMware Cloud Director remplace les périphériques TPM pendant l'instanciation.
Lors de l'utilisation de VMware Cloud Director API, VMware Cloud Director prend en charge moveVApp API pour les machines virtuelles avec un périphérique TPM si l'instance cible de vCenter Server contient le fournisseur de clés associé à la machine virtuelle. Il n'y a pas d'exigence de stockage partagé pour l'API moveVApp. Il existe des exigences de stockage partagé pour d'autres opérations qui impliquent le déplacement d'un vApp.
L'importation d'une machine virtuelle contenant un périphérique TPM à partir d'une instance de vCenter Server en tant que vApp préserve le périphérique TPM pour les opérations copy
et move
.
Pour connaître les conditions préalables du TPM pour vCenter Server, reportez-vous aux sections des conditions préalables dans Créer une machine virtuelle avec un module de plate-forme sécurisée virtuelle ou Ajouter un module de plate-forme sécurisée virtuelle à une machine virtuelle existante du guide Sécurité de vSphere.