À partir de VMware Cloud Director 10.4.2, vous pouvez créer, copier et modifier des machines virtuelles et des vApp avec des périphériques de module de plate-forme sécurisée (TPM, Trusted Platform Module). Un TPM est une représentation logicielle d'une puce TPM 2.0 (Trusted Platform Module, module de plate-forme sécurisée) physique. Un TPM fonctionne comme n'importe quel autre périphérique virtuel.

Les TPM fournissent des fonctions de sécurité basées sur le matériel, telles que la génération de nombres aléatoires, l'attestation, la génération de clés, etc. Lorsque vous ajoutez un TPM à une machine virtuelle, le TPM permet au système d'exploitation invité de créer et de stocker des clés privées. Le système d'exploitation invité ne peut pas accéder à ces clés, ce qui réduit la surface d'attaque de la machine virtuelle. En règle générale, si le système d'exploitation invité est compromis, les données secrètes qui s'y trouvent le sont également, mais l'activation d'un TPM réduit considérablement ce risque. Seul le système d'exploitation invité peut utiliser ces clés pour le chiffrement ou la signature. Avec un TPM attaché, un client peut attester à distance de l'identité de la machine virtuelle et vérifier le logiciel qu'elle exécute.

Un TPM ne nécessite pas qu'une puce TPM 2.0 (Trusted Platform Module, module de plate-forme sécurisée) physique soit présente sur l'hôte ESXi. Du point de vue de la machine virtuelle, un TPM est un périphérique virtuel. Vous pouvez ajouter un TPM aussi bien à une nouvelle machine virtuelle qu'à une machine virtuelle existante. Pour sécuriser les données TPM essentielles, un TPM dépend du chiffrement de la machine virtuelle et vous devez configurer un fournisseur de clés. Lorsque vous configurez un TPM, les fichiers de la VM sont chiffrés, mais pas les disques.

Pour obtenir des informations pertinentes pour les locataires, reportez-vous à la section Utilisation des machines virtuelles.

Pour ajouter un périphérique TPM à une machine virtuelle, votre environnement vSphere doit répondre à certaines exigences.
  • Configuration requise pour la machine virtuelle
    • Micrologiciel EFI
    • Version de matériel 14 ou version ultérieure de machine virtuelle
  • Configuration requise pour le composant
  • Prise en charge du SE invité
    • Linux
    • Windows Server 2008 et versions ultérieures
    • Windows 7 et versions ultérieures
Pour effectuer certaines opérations pour les machines virtuelles avec TPM dans des instances de vCenter Server, vous devez vérifier que votre environnement répond à certaines conditions préalables. Les opérations sont les suivantes :
  • Copier une VM
  • Déplacer une VM
  • Copier un vApp
  • Déplacer un vApp
  • Instancier un modèle de vApp lorsque le modèle copie le TPM lors de l'installation.
  • Enregistrer un vApp en tant que modèle de vApp dans un catalogue
  • Ajouter une machine virtuelle autonome à un catalogue
  • Créer un modèle de vApp à partir d'un fichier OVF
  • Importer une machine virtuelle à partir de vCenter Server
Pour effectuer les opérations sur des instances de vCenter Server, votre environnement doit répondre aux critères suivants :
  • Le fournisseur de clés utilisé pour chiffrer chaque machine virtuelle doit être enregistré sur l'instance de vCenter Server cible sous le même nom.
  • La machine virtuelle et l'instance de vCenter Server cible se trouvent sur le même stockage partagé. Vous pouvez également activer l'instanciation rapide de vApp entre systèmes vCenter Server. Reportez-vous aux informations d'instanciation rapide de vApp entre systèmes vCenter Server dans les Notes de mise à jour de VMware Cloud Director 10.4.
Pour les machines virtuelles avec un périphérique TPM, lorsque le catalogue cible utilise un stockage disponible dans une organisation disposant de plusieurs instances de vCenter Server de sauvegarde, VMware Cloud Director ne prend pas en charge les opérations suivantes :
  • Enregistrer un vApp en tant que modèle de vApp dans un catalogue
  • Ajouter une machine virtuelle autonome à un catalogue
  • Créer un modèle de vApp à partir d'un fichier OVF
  • Importation d'une machine virtuelle à partir d'un système vCenter Server en tant que modèle
Si la version de l'instance de vCenter Server cible est la version 8.0 ou version ultérieure, vous pouvez remplacer le périphérique TPM d'une machine virtuelle lors des opérations suivantes :
  • Copier une VM
  • Copier un vApp
  • Composer un vApp
Tableau 1. Options du périphérique TPM en fonction de la version de vCenter Server
Opération vCenter Server 7.x vCenter Server 8.x
Créer une machine virtuelle autonome Nouveau périphérique TPM Nouveau périphérique TPM
Créer une machine virtuelle à partir d'un modèle Copier et remplacer

Dépend du modèle de machine virtuelle spécifique.

Copier et remplacer

Dépend du modèle de machine virtuelle spécifique.

Construire un nouveau vApp Copier et remplacer

Dépend des modèles de VM spécifiques.

Copier et remplacer

Dépend des modèles de VM spécifiques.

Créer un vApp à partir d'un module OVF Nouveau périphérique TPM

Le téléchargement d'un fichier OVF avec une section TPM RASD attache un nouveau périphérique TPM à chaque machine virtuelle avec un TPM défini.

Nouveau périphérique TPM

Le téléchargement d'un fichier OVF avec une section TPM RASD attache un nouveau périphérique TPM à chaque machine virtuelle avec un TPM défini.

Créer un vApp à partir d'un modèle de vApp Copier et remplacer

Dépend du modèle de vApp.

Copier et remplacer

Dépend du modèle de vApp.

Importer une machine virtuelle à partir d'un système vCenter Server en tant que vApp Copier Copier
Ajouter une machine virtuelle à un vApp Nouveau périphérique TPM Nouveau périphérique TPM
Ajouter une machine virtuelle à partir d'un modèle à un vApp Copier et remplacer

Dépend du modèle de machine virtuelle spécifique.

Copier et remplacer

Dépend du modèle de machine virtuelle spécifique.

Copier une machine virtuelle vers un autre vApp Copier Copier et remplacer
Déplacer une machine virtuelle vers un autre vApp Copier Copier

Copier un vApp arrêté vers un autre VDC

Copier un vApp mis sous tension

Copier

S'applique à tous les périphériques TPM dans le vApp.

Copier et remplacer

S'applique à tous les périphériques TPM dans le vApp.

Enregistrer un vApp en tant que modèle de vApp dans un catalogue Copier et remplacer Copier et remplacer
Créer un modèle de vApp à partir d'un fichier OVF Nouveau périphérique TPM

Le téléchargement d'un fichier OVF avec une section TPM RASD attache un nouveau périphérique TPM à chaque machine virtuelle avec un TPM défini.

Nouveau périphérique TPM

Le téléchargement d'un fichier OVF avec une section TPM RASD attache un nouveau périphérique TPM à chaque machine virtuelle avec un TPM défini.

Si vous ne spécifiez pas s'il faut copier ou remplacer un périphérique TPM dans l'API, VMware Cloud Director copie le TPM par défaut. Lors de l'exécution d'opérations sur des vApp dans l'interface utilisateur, l'option de copie ou de remplacement de TPM s'applique à toutes les machines virtuelles du vApp.

Lors de l'instanciation d'une machine virtuelle à partir d'un modèle de vApp contenant un périphérique TPM, vous devez prendre en compte certains éléments.
  • Si le modèle a été créé à l'aide de VMware Cloud Director, l'instanciation copie ou remplace le périphérique TPM en fonction de l'option Provisionnement TPM sélectionnée lorsque le modèle a été capturé.
  • Si le modèle a été créé en chargeant un fichier OVF ou OVA, l'instanciation remplace le périphérique TPM.
  • Si le modèle a été créé en important une machine virtuelle à partir de vCenter Server, l'instanciation copie le périphérique TPM.
  • Si l'instance de vCenter Server cible répond aux conditions requises du TPM, vous pouvez effectuer des instanciations des instances de vCenter Server pour les modèles pour lesquels VMware Cloud Director remplace les périphériques TPM pendant l'instanciation.

Lors de l'utilisation de VMware Cloud Director API, VMware Cloud Director prend en charge moveVApp API pour les machines virtuelles avec un périphérique TPM si l'instance cible de vCenter Server contient le fournisseur de clés associé à la machine virtuelle. Il n'y a pas d'exigence de stockage partagé pour l'API moveVApp. Il existe des exigences de stockage partagé pour d'autres opérations qui impliquent le déplacement d'un vApp.

L'importation d'une machine virtuelle contenant un périphérique TPM à partir d'une instance de vCenter Server en tant que vApp préserve le périphérique TPM pour les opérations copy et move.

Pour connaître les conditions préalables du TPM pour vCenter Server, reportez-vous aux sections des conditions préalables dans Créer une machine virtuelle avec un module de plate-forme sécurisée virtuelle ou Ajouter un module de plate-forme sécurisée virtuelle à une machine virtuelle existante du guide Sécurité de vSphere.