Una macchina virtuale è un computer software che, come un computer fisico, esegue un sistema operativo e alcune applicazioni. La macchina virtuale è costituita da una serie di file di configurazione e specifiche ed è supportata dalle risorse fisiche di un host. Ogni macchina virtuale dispone di dispositivi virtuali che forniscono le stesse funzionalità dell'hardware fisico, ma con maggiore portabilità, sicurezza e semplicità di gestione.

Oltre alle operazioni che possono essere eseguite in una macchina fisica, le macchine virtuali di VMware Cloud Director supportano operazioni dell'infrastruttura virtuale, come la creazione di una snapshot dello stato della macchina virtuale e lo spostamento di una macchina virtuale da un host all'altro.

Le macchine virtuali supportano la connettività IPv6. È possibile assegnare indirizzi IPv6 a macchine virtuali connesse a reti IPv6.

Importante: La documentazione illustra i passaggi per l'utilizzo delle macchine virtuali nella vista a schede, supponendo che si disponga di più virtual data center. Le stesse procedure possono essere completate anche dalla vista griglia, ma i passaggi possono variare leggermente.

Protezione delle macchine virtuali con un Trusted Platform Module

A partire da VMware Cloud Director 10.4.2, è possibile creare, copiare e modificare le macchine virtuali con dispositivi Trusted Platform Module (TPM). Un TPM è una rappresentazione basata sul software di un chip Trusted Platform Module 2.0 fisico. Un TPM agisce come qualsiasi altro dispositivo virtuale.

I TPM forniscono funzionalità relative alla sicurezza basate su hardware, come generazione di numeri casuali, attestazione, generazione di chiavi e molto altro. Quando si aggiunge un TPM a una macchina virtuale, il TPM consente al sistema operativo guest di creare e archiviare le chiavi private. Il sistema operativo guest non può accedere a queste chiavi e questo riduce la superficie di attacco della macchina virtuale. In genere, se un sistema operativo guest viene compromesso, vengono compromessi anche i suoi segreti. Tuttavia, l'abilitazione di un TPM riduce notevolmente questo rischio. Solo il sistema operativo guest può utilizzare queste chiavi per la crittografia o la firma. Con un TPM collegato, un client può attestare in remoto l'identità della macchina virtuale e verificare il software che sta eseguendo.

Un TPM non richiede che nell'host ESXi sia presente un chip Trusted Platform Module 2.0 fisico. Dal punto di vista della macchina virtuale, un TPM è un dispositivo virtuale. È possibile aggiungere un TPM a una macchina virtuale nuova o esistente. Per proteggere i dati fondamentali del TPM, un TPM dipende dalla crittografia della macchina virtuale ed è necessario configurare un provider di chiavi. Quando si configura un TPM, i file della macchina virtuale vengono crittografati, ma i dischi no.

Affinché sia possibile aggiungere un dispositivo TPM a una macchina virtuale, l'ambiente deve soddisfare i seguenti requisiti:
  • La macchina virtuale è spenta.
  • La macchina virtuale non dispone di alcuno snapshot.
  • Un VDC che supporta TPM supporta la macchina virtuale.
  • Il firmware della macchina virtuale è EFI.
  • La versione dell'hardware della macchina virtuale è 14 o successiva.
  • Il sistema operativo guest è compatibile con TPM.
Affinché sia possibile rimuovere un dispositivo TPM da una macchina virtuale, l'ambiente deve soddisfare i seguenti requisiti:
  • La macchina virtuale è spenta.
  • La macchina virtuale non dispone di alcuno snapshot.

Per eseguire determinate operazioni per le macchine virtuali con TPM nelle istanze di vCenter Server, è necessario verificare che l'ambiente soddisfi determinati prerequisiti.

Operazioni Prerequisiti
Copia di una macchina virtuale
  • Il provider di chiavi utilizzato per crittografare ogni macchina virtuale deve essere registrato nell'istanza di vCenter Server di destinazione con lo stesso nome.
  • Verificare che la macchina virtuale e l'istanza di vCenter Server di destinazione si trovino nello stesso storage condiviso o che sia abilitata la creazione rapida di istanze di vApp tra vCenter Server. Vedere le informazioni sulla creazione rapida di istanze di vApp in vCenter Server nelle Note di rilascio di VMware Cloud Director 10.4.
Spostamento di una macchina virtuale
Copia di una vApp
Spostamento di una vApp
Creazione di una macchina virtuale da un modello
Salvataggio di una vApp come modello di vApp in un catalogo
Aggiunta di una macchina virtuale standalone a un catalogo
Creazione di un modello di vApp da un file OVF
Importazione di una macchina virtuale da vCenter Server
Per le macchine virtuali con un dispositivo TPM, quando il catalogo di destinazione utilizza uno storage disponibile in un'organizzazione che dispone di più istanze di vCenter Server di supporto, VMware Cloud Director non supporta le operazioni seguenti:
  • Salvataggio di una vApp come modello di vApp in un catalogo
  • Aggiunta di una macchina virtuale standalone a un catalogo
  • Creazione di un modello di vApp da un file OVF
  • Importazione di una macchina virtuale da vCenter Server come modello
Se la versione dell'istanza di vCenter Server di destinazione è 8.0 o successiva, è possibile sostituire il dispositivo TPM di una macchina virtuale durante le seguenti operazioni:
  • Copia di una macchina virtuale
  • Copia di una vApp
  • Composizione di una vApp
Tabella 1. Opzioni del dispositivo TPM in base alla versione di vCenter Server
Operazione vCenter Server 7.x vCenter Server 8.x
Creazione di una macchina virtuale standalone Nuovo dispositivo TPM Nuovo dispositivo TPM
Creazione di una macchina virtuale da un modello Copia e sostituzione

Dipende dal modello di macchina virtuale specifico.

Copia e sostituzione

Dipende dal modello di macchina virtuale specifico.

Creazione di una vApp tramite i modelli di macchine virtuali Copia e sostituzione

Dipende dai modelli di macchine virtuali specifici.

Copia e sostituzione

Dipende dai modelli di macchine virtuali specifici.

Creazione di una vApp da un pacchetto OVF Nuovo dispositivo TPM

Se si carica un OVF con una sezione RASD di TPM, viene collegato un nuovo dispositivo TPM a ogni macchina virtuale con un TPM definito.

Nuovo dispositivo TPM

Se si carica un OVF con una sezione RASD di TPM, viene collegato un nuovo dispositivo TPM a ogni macchina virtuale con un TPM definito.

Creazione di una vApp da un modello Copia e sostituzione

Dipende dal modello di vApp.

Copia e sostituzione

Dipende dal modello di vApp.

Importazione di una macchina virtuale da vCenter Server come vApp Copia Copia
Aggiunta di una nuova macchina virtuale a una vApp Nuovo dispositivo TPM Nuovo dispositivo TPM
Aggiunta di una macchina virtuale da un modello a una vApp Copia e sostituzione

Dipende dal modello di macchina virtuale specifico.

Copia e sostituzione

Dipende dal modello di macchina virtuale specifico.

Copia di una macchina virtuale in una vApp diversa Copia Copia e sostituzione
Spostamento di una macchina virtuale in una vApp diversa Copia Copia

Copia di una vApp arrestata in un altro VDC

Copia di una vApp attivata

Copia

Si applica a tutti i dispositivi TPM all'interno della vApp.

Copia e sostituzione

Si applica a tutti i dispositivi TPM all'interno della vApp.

Salvataggio di una vApp come modello di vApp in un catalogo Copia e sostituzione Copia e sostituzione
Creazione di un modello di vApp da un file OVF Nuovo dispositivo TPM

Se si carica un OVF con una sezione RASD di TPM, viene collegato un nuovo dispositivo TPM a ogni macchina virtuale con un TPM definito.

Nuovo dispositivo TPM

Se si carica un OVF con una sezione RASD di TPM, viene collegato un nuovo dispositivo TPM a ogni macchina virtuale con un TPM definito.

Se non si specifica se copiare o sostituire un dispositivo TPM nell'API, VMware Cloud Director copia il TPM per impostazione predefinita. Quando si eseguono operazioni nelle vApp nell'interfaccia utente, l'opzione di copia o sostituzione del TPM si applica a tutte le macchine virtuali all'interno della vApp.

Quando si crea un'istanza di una macchina virtuale da un modello di vApp contenente un dispositivo TPM, è necessario tenere conto di alcune considerazioni.
  • Se il modello è stato creato utilizzando VMware Cloud Director, la creazione dell'istanza copia o sostituisce il dispositivo TPM in base all'opzione Provisioning di TPM selezionata al momento dell'acquisizione del modello.
  • Se il modello è stato creato caricando un OVF o un OVA, la creazione dell'istanza sostituisce il dispositivo TPM.
  • Se il modello è stato creato importando una macchina virtuale da vCenter Server, la creazione dell'istanza copia il dispositivo TPM.
  • Se il vCenter Server di destinazione soddisfa i requisiti del TPM, è possibile eseguire la creazione dell'istanza nelle istanze di vCenter Server per i modelli per cui VMware Cloud Director sostituisce i dispositivi TPM durante la creazione dell'istanza.

Se si sottoscrive un catalogo che contiene modelli con dispositivi TPM, la versione di VMware Cloud Director del sottoscrittore deve essere 10.4.2 o successiva. Se la versione di VMware Cloud Director del sottoscrittore è 10.4.1 o precedente, i modelli non contengono dispositivi TPM.

Per i prerequisiti di TPM per vCenter Server, vedere le sezioni dei prerequisiti in Creazione di una macchina virtuale con un Trusted Platform Module virtuale o Aggiunta di un Trusted Platform Module virtuale a una macchina virtuale esistente nella guida di vSphere Security.