A partire da VMware Cloud Director 10.4.2, è possibile creare, copiare e modificare le macchine virtuali e le vApp con dispositivi Trusted Platform Module (TPM). Un TPM è una rappresentazione basata sul software di un chip Trusted Platform Module 2.0 fisico. Un TPM agisce come qualsiasi altro dispositivo virtuale.
I TPM forniscono funzionalità relative alla sicurezza basate su hardware, come generazione di numeri casuali, attestazione, generazione di chiavi e molto altro. Quando si aggiunge un TPM a una macchina virtuale, il TPM consente al sistema operativo guest di creare e archiviare le chiavi private. Il sistema operativo guest non può accedere a queste chiavi e questo riduce la superficie di attacco della macchina virtuale. In genere, se un sistema operativo guest viene compromesso, vengono compromessi anche i suoi segreti. Tuttavia, l'abilitazione di un TPM riduce notevolmente questo rischio. Solo il sistema operativo guest può utilizzare queste chiavi per la crittografia o la firma. Con un TPM collegato, un client può attestare in remoto l'identità della macchina virtuale e verificare il software che sta eseguendo.
Un TPM non richiede che nell'host ESXi sia presente un chip Trusted Platform Module 2.0 fisico. Dal punto di vista della macchina virtuale, un TPM è un dispositivo virtuale. È possibile aggiungere un TPM a una macchina virtuale nuova o esistente. Per proteggere i dati fondamentali del TPM, un TPM dipende dalla crittografia della macchina virtuale ed è necessario configurare un provider di chiavi. Quando si configura un TPM, i file della macchina virtuale vengono crittografati, ma i dischi no.
Per informazioni pertinenti sul tenant, vedere Utilizzo delle macchine virtuali.
- Requisiti della macchina virtuale
- Firmware EFI
- Hardware della macchina virtuale con versione 14 o successiva
- Requisiti dei componenti
- vCenter 6.7 e versioni successive per le macchine virtuali Windows, vCenter 7.0 Update 2 e versioni successive per le macchine virtuali Linux
- Provider di chiavi nativo, standard o attendibile configurato per vCenter. Vedere i capitoli Configurazione e gestione di un provider di chiavi standard, Configurazione e gestione di vSphere Native Key Provider o Panoramica dell'infrastruttura attendibile nella documentazione di VMware vSphere Security.
- Supporto del sistema operativo guest
- Linux
- Windows Server 2008 e versioni successive
- Windows 7 e versioni successive
- Copia di una macchina virtuale
- Spostamento di una macchina virtuale
- Copia di una vApp
- Spostamento di una vApp
- Creazione di un'istanza di un modello di vApp quando il modello copia il TPM durante la creazione dell'istanza
- Salvataggio di una vApp come modello di vApp in un catalogo
- Aggiunta di una macchina virtuale standalone a un catalogo
- Creazione di un modello di vApp da un file OVF
- Importazione di una macchina virtuale da vCenter
- Il provider di chiavi utilizzato per crittografare ogni macchina virtuale deve essere registrato nell'istanza di vCenter di destinazione con lo stesso nome.
- La macchina virtuale e l'istanza di vCenter di destinazione si trovano nello stesso storage condiviso. In alternativa, è necessario attivare la creazione rapida di istanze di vApp tra vCenter. Vedere le informazioni sulla creazione rapida di istanze di vApp in vCenter nelle Note di rilascio di VMware Cloud Director 10.4.
- Salvataggio di una vApp come modello di vApp in un catalogo
- Aggiunta di una macchina virtuale standalone a un catalogo
- Creazione di un modello di vApp da un file OVF
- Importazione di una macchina virtuale da vCenter come modello
- Copia di una macchina virtuale
- Copia di una vApp
- Componi una vApp
Operazione | vCenter 7.x | vCenter 8.x |
---|---|---|
Creazione di una macchina virtuale standalone | Nuovo dispositivo TPM | Nuovo dispositivo TPM |
Creazione di una macchina virtuale da un modello | Copia e sostituzione Dipende dal modello di macchina virtuale specifico. |
Copia e sostituzione Dipende dal modello di macchina virtuale specifico. |
Creazione di una nuova vApp | Copia e sostituzione Dipende dai modelli di macchine virtuali specifici. |
Copia e sostituzione Dipende dai modelli di macchine virtuali specifici. |
Creazione di una vApp da un pacchetto OVF | Nuovo dispositivo TPM Se si carica un OVF con una sezione |
Nuovo dispositivo TPM Se si carica un OVF con una sezione |
Creazione di una vApp da un modello di vApp | Copia e sostituzione Dipende dal modello di vApp. |
Copia e sostituzione Dipende dal modello di vApp. |
Importazione di una macchina virtuale da vCenter Server come vApp | Copia | Copia |
Aggiunta di una macchina virtuale a una vApp | Nuovo dispositivo TPM | Nuovo dispositivo TPM |
Aggiunta di una macchina virtuale da un modello a una vApp | Copia e sostituzione Dipende dal modello di macchina virtuale specifico. |
Copia e sostituzione Dipende dal modello di macchina virtuale specifico. |
Copia di una macchina virtuale in una vApp diversa | Copia | Copia e sostituzione |
Spostamento di una macchina virtuale in una vApp diversa | Copia | Copia |
Copia Si applica a tutti i dispositivi TPM all'interno della vApp. |
Copia e sostituzione Si applica a tutti i dispositivi TPM all'interno della vApp. |
|
Salvataggio di una vApp come modello di vApp in un catalogo | Copia e sostituzione | Copia e sostituzione |
Creazione di un modello di vApp da un file OVF | Nuovo dispositivo TPM Se si carica un OVF con una sezione |
Nuovo dispositivo TPM Se si carica un OVF con una sezione |
Se non si specifica se copiare o sostituire un dispositivo TPM nell'API, VMware Cloud Director copia il TPM per impostazione predefinita. Quando si eseguono operazioni nelle vApp nell'interfaccia utente, l'opzione di copia o sostituzione del TPM si applica a tutte le macchine virtuali all'interno della vApp.
- Se il modello è stato creato utilizzando VMware Cloud Director, la creazione dell'istanza copia o sostituisce il dispositivo TPM in base all'opzione Provisioning di TPM selezionata al momento dell'acquisizione del modello.
- Se il modello è stato creato caricando un OVF o un OVA, la creazione dell'istanza sostituisce il dispositivo TPM.
- Se il modello è stato creato importando una macchina virtuale da vCenter, la creazione dell'istanza copia il dispositivo TPM.
- Se il vCenter di destinazione soddisfa i requisiti del TPM, è possibile eseguire la creazione dell'istanza nelle istanze di vCenter per i modelli per cui VMware Cloud Director sostituisce i dispositivi TPM durante la creazione dell'istanza.
Quando si utilizza l'API di VMware Cloud Director, VMware Cloud Director supporta l'API di moveVApp per le macchine virtuali con un dispositivo TPM se l'istanza di vCenter di destinazione contiene il provider di chiavi associato alla macchina virtuale. Non è presente alcun requisito di storage condiviso per l'API moveVApp. Esistono requisiti di storage condiviso per altre operazioni che implicano lo spostamento di una vApp.
L'importazione di una macchina virtuale che contiene un dispositivo TPM da un'istanza di vCenter come vApp preserva il dispositivo TPM per le operazioni copy
e move
.
Per i prerequisiti di TPM per vCenter, vedere le sezioni dei prerequisiti in Creazione di una macchina virtuale con un Trusted Platform Module virtuale o Aggiunta di un Trusted Platform Module virtuale a una macchina virtuale esistente nella guida di vSphere Security.