A partire da VMware Cloud Director 10.4.2, è possibile creare, copiare e modificare le macchine virtuali e le vApp con dispositivi Trusted Platform Module (TPM). Un TPM è una rappresentazione basata sul software di un chip Trusted Platform Module 2.0 fisico. Un TPM agisce come qualsiasi altro dispositivo virtuale.

I TPM forniscono funzionalità relative alla sicurezza basate su hardware, come generazione di numeri casuali, attestazione, generazione di chiavi e molto altro. Quando si aggiunge un TPM a una macchina virtuale, il TPM consente al sistema operativo guest di creare e archiviare le chiavi private. Il sistema operativo guest non può accedere a queste chiavi e questo riduce la superficie di attacco della macchina virtuale. In genere, se un sistema operativo guest viene compromesso, vengono compromessi anche i suoi segreti. Tuttavia, l'abilitazione di un TPM riduce notevolmente questo rischio. Solo il sistema operativo guest può utilizzare queste chiavi per la crittografia o la firma. Con un TPM collegato, un client può attestare in remoto l'identità della macchina virtuale e verificare il software che sta eseguendo.

Un TPM non richiede che nell'host ESXi sia presente un chip Trusted Platform Module 2.0 fisico. Dal punto di vista della macchina virtuale, un TPM è un dispositivo virtuale. È possibile aggiungere un TPM a una macchina virtuale nuova o esistente. Per proteggere i dati fondamentali del TPM, un TPM dipende dalla crittografia della macchina virtuale ed è necessario configurare un provider di chiavi. Quando si configura un TPM, i file della macchina virtuale vengono crittografati, ma i dischi no.

Per informazioni pertinenti sul tenant, vedere Utilizzo delle macchine virtuali.

Affinché sia possibile aggiungere un dispositivo TPM a una macchina virtuale, è necessario che l'ambiente vSphere soddisfi determinati requisiti.
Per eseguire determinate operazioni per le macchine virtuali con TPM nelle istanze di vCenter, è necessario verificare che l'ambiente soddisfi determinati prerequisiti. Le operazioni sono:
  • Copia di una macchina virtuale
  • Spostamento di una macchina virtuale
  • Copia di una vApp
  • Spostamento di una vApp
  • Creazione di un'istanza di un modello di vApp quando il modello copia il TPM durante la creazione dell'istanza
  • Salvataggio di una vApp come modello di vApp in un catalogo
  • Aggiunta di una macchina virtuale standalone a un catalogo
  • Creazione di un modello di vApp da un file OVF
  • Importazione di una macchina virtuale da vCenter
Affinché sia possibile eseguire le operazioni nelle istanze di vCenter, l'ambiente deve soddisfare i seguenti criteri:
  • Il provider di chiavi utilizzato per crittografare ogni macchina virtuale deve essere registrato nell'istanza di vCenter di destinazione con lo stesso nome.
  • La macchina virtuale e l'istanza di vCenter di destinazione si trovano nello stesso storage condiviso. In alternativa, è necessario attivare la creazione rapida di istanze di vApp tra vCenter. Vedere le informazioni sulla creazione rapida di istanze di vApp in vCenter nelle Note di rilascio di VMware Cloud Director 10.4.
Per le macchine virtuali con un dispositivo TPM, quando il catalogo di destinazione utilizza uno storage disponibile in un'organizzazione che dispone di più istanze di vCenter di supporto, VMware Cloud Director non supporta le operazioni seguenti:
  • Salvataggio di una vApp come modello di vApp in un catalogo
  • Aggiunta di una macchina virtuale standalone a un catalogo
  • Creazione di un modello di vApp da un file OVF
  • Importazione di una macchina virtuale da vCenter come modello
Se la versione dell'istanza di vCenter di destinazione è 8.0 o successiva, è possibile sostituire il dispositivo TPM di una macchina virtuale durante le seguenti operazioni:
  • Copia di una macchina virtuale
  • Copia di una vApp
  • Componi una vApp
Tabella 1. Opzioni del dispositivo TPM in base alla versione di vCenter
Operazione vCenter 7.x vCenter 8.x
Creazione di una macchina virtuale standalone Nuovo dispositivo TPM Nuovo dispositivo TPM
Creazione di una macchina virtuale da un modello Copia e sostituzione

Dipende dal modello di macchina virtuale specifico.

Copia e sostituzione

Dipende dal modello di macchina virtuale specifico.

Creazione di una nuova vApp Copia e sostituzione

Dipende dai modelli di macchine virtuali specifici.

Copia e sostituzione

Dipende dai modelli di macchine virtuali specifici.

Creazione di una vApp da un pacchetto OVF Nuovo dispositivo TPM

Se si carica un OVF con una sezione RASD di TPM, viene collegato un nuovo dispositivo TPM a ogni macchina virtuale con un TPM definito.

Nuovo dispositivo TPM

Se si carica un OVF con una sezione RASD di TPM, viene collegato un nuovo dispositivo TPM a ogni macchina virtuale con un TPM definito.

Creazione di una vApp da un modello di vApp Copia e sostituzione

Dipende dal modello di vApp.

Copia e sostituzione

Dipende dal modello di vApp.

Importazione di una macchina virtuale da vCenter Server come vApp Copia Copia
Aggiunta di una macchina virtuale a una vApp Nuovo dispositivo TPM Nuovo dispositivo TPM
Aggiunta di una macchina virtuale da un modello a una vApp Copia e sostituzione

Dipende dal modello di macchina virtuale specifico.

Copia e sostituzione

Dipende dal modello di macchina virtuale specifico.

Copia di una macchina virtuale in una vApp diversa Copia Copia e sostituzione
Spostamento di una macchina virtuale in una vApp diversa Copia Copia

Copia di una vApp arrestata in un altro VDC

Copia di una vApp accesa

Copia

Si applica a tutti i dispositivi TPM all'interno della vApp.

Copia e sostituzione

Si applica a tutti i dispositivi TPM all'interno della vApp.

Salvataggio di una vApp come modello di vApp in un catalogo Copia e sostituzione Copia e sostituzione
Creazione di un modello di vApp da un file OVF Nuovo dispositivo TPM

Se si carica un OVF con una sezione RASD di TPM, viene collegato un nuovo dispositivo TPM a ogni macchina virtuale con un TPM definito.

Nuovo dispositivo TPM

Se si carica un OVF con una sezione RASD di TPM, viene collegato un nuovo dispositivo TPM a ogni macchina virtuale con un TPM definito.

Se non si specifica se copiare o sostituire un dispositivo TPM nell'API, VMware Cloud Director copia il TPM per impostazione predefinita. Quando si eseguono operazioni nelle vApp nell'interfaccia utente, l'opzione di copia o sostituzione del TPM si applica a tutte le macchine virtuali all'interno della vApp.

Quando si crea un'istanza di una macchina virtuale da un modello di vApp contenente un dispositivo TPM, è necessario tenere conto di alcune considerazioni.
  • Se il modello è stato creato utilizzando VMware Cloud Director, la creazione dell'istanza copia o sostituisce il dispositivo TPM in base all'opzione Provisioning di TPM selezionata al momento dell'acquisizione del modello.
  • Se il modello è stato creato caricando un OVF o un OVA, la creazione dell'istanza sostituisce il dispositivo TPM.
  • Se il modello è stato creato importando una macchina virtuale da vCenter, la creazione dell'istanza copia il dispositivo TPM.
  • Se il vCenter di destinazione soddisfa i requisiti del TPM, è possibile eseguire la creazione dell'istanza nelle istanze di vCenter per i modelli per cui VMware Cloud Director sostituisce i dispositivi TPM durante la creazione dell'istanza.

Quando si utilizza l'API di VMware Cloud Director, VMware Cloud Director supporta l'API di moveVApp per le macchine virtuali con un dispositivo TPM se l'istanza di vCenter di destinazione contiene il provider di chiavi associato alla macchina virtuale. Non è presente alcun requisito di storage condiviso per l'API moveVApp. Esistono requisiti di storage condiviso per altre operazioni che implicano lo spostamento di una vApp.

L'importazione di una macchina virtuale che contiene un dispositivo TPM da un'istanza di vCenter come vApp preserva il dispositivo TPM per le operazioni copy e move.

Per i prerequisiti di TPM per vCenter, vedere le sezioni dei prerequisiti in Creazione di una macchina virtuale con un Trusted Platform Module virtuale o Aggiunta di un Trusted Platform Module virtuale a una macchina virtuale esistente nella guida di vSphere Security.