VMware Cloud Director 10.4.2 以降では、Trusted Platform Module (TPM) デバイスを備えた仮想マシンと vApp を作成、コピー、編集できます。TPM は、物理的な Trusted Platform Module 2.0 チップをソフトウェアにしたものです。TPM は、他のすべての仮想デバイスと同様に動作します。

TPM は、ランダムな番号の生成、証明、キーの生成など、ハードウェア ベースのセキュリティ関連の機能を提供します。TPM を仮想マシンに追加すると、TPM によってゲスト OS がプライベート キーを作成および保存できるようになります。ゲスト OS はこれらのキーにアクセスできないため、仮想マシンの攻撃対象領域が減少します。通常、ゲスト OS の侵害が起きると機密情報が侵害されますが、ゲスト OS で TPM を有効にしておくと、このリスクを大幅に低減できます。暗号化や署名にこれらのキーを使用できるのはゲスト OS のみです。アタッチされた TPM を使用することで、クライアントは仮想マシンの ID をリモートで認証し、実行中のソフトウェアを確認できます。

TPM を利用する場合、ESXi ホストに物理的な Trusted Platform Module 2.0 チップは不要です。仮想マシンから見ると、TPM は仮想デバイスです。TPM は、新しい仮想マシンと既存の仮想マシンのどちらにも追加できます。重要な TPM データを保護するために、TPM は仮想マシンの暗号化に依存しており、キー プロバイダを構成する必要があります。TPM を構成すると、仮想マシン ファイルは暗号化されますが、ディスクは暗号化されません。

テナント関連の情報については、「仮想マシンの操作」を参照してください。

TPM デバイスを仮想マシンに追加するには、 vSphere 環境が特定の要件を満たしている必要があります。
  • 仮想マシンの要件
    • EFI ファームウェア
    • 仮想マシン ハードウェア バージョン 14 以降
  • コンポーネントの要件
  • ゲスト OS のサポート
    • Linux
    • Windows Server 2008 以降
    • Windows 7 以降
複数の vCenter Server インスタンス内の仮想マシンに対して TPM が特定の操作を実行するには、環境が特定の前提条件を満たしていることを確認する必要があります。該当するのは、以下の操作です。
  • 仮想マシンのコピー
  • 仮想マシンの移動
  • vApp をコピー
  • vApp の移動
  • vApp テンプレートのインスタンス化(インスタンス化中にテンプレートが TPM をコピーする場合)。
  • vApp の vApp テンプレートとしてのカタログへの保存
  • カタログへのスタンドアローン仮想マシンの追加
  • OVF ファイルからの vApp テンプレートの作成
  • vCenter Server からの仮想マシンのインポート
複数の vCenter Server インスタンスに対して操作を実行するには、環境が次の基準を満たしている必要があります。
  • 各仮想マシンの暗号化に使用するキー プロバイダは、ターゲットの vCenter Server インスタンスに同じ名前で登録する必要があります。
  • 仮想マシンとターゲットの vCenter Server インスタンスが同じ共有ストレージ上にあること。または、vCenter Server の高速クロス vApp インスタンス化が有効になっていること。クロス vCenter Server vApp 高速インスタンス化については、VMware Cloud Director 10.4 リリース ノートを参照してください。
TPM デバイスを含む仮想マシンについては、複数のバッキング vCenter Server インスタンスを持つ組織内の使用可能なストレージをターゲット カタログが使用している場合、 VMware Cloud Director は次の操作をサポートしません。
  • vApp の vApp テンプレートとしてのカタログへの保存
  • カタログへのスタンドアローン仮想マシンの追加
  • OVF ファイルからの vApp テンプレートの作成
  • vCenter Server からのテンプレートとしての仮想マシンのインポート
ターゲット vCenter Server インスタンスがバージョン 8.0 以降の場合は、次の操作中に仮想マシンの TPM デバイスを置き換えることができます。
  • 仮想マシンのコピー
  • vApp をコピー
  • vApp の作成
表 1. vCenter Server のバージョンに応じた TPM デバイスのオプション
操作 vCenter Server 7.x vCenter Server 8.x
スタンドアローン仮想マシンの作成 新しい TPM デバイス 新しい TPM デバイス
テンプレートからの仮想マシンの作成 コピーと置き換え

特定の仮想マシン テンプレートによって異なります。

コピーと置き換え

特定の仮想マシン テンプレートによって異なります。

新規 vApp の構築 コピーと置き換え

特定の仮想マシン テンプレートによって異なります。

コピーと置き換え

特定の仮想マシン テンプレートによって異なります。

OVF パッケージからの vApp フォームの作成 新しい TPM デバイス

TPM RASD セクションがある OVF をアップロードすると、定義済みの TPM がある各仮想マシンに新しい TPM デバイスが接続されます。

新しい TPM デバイス

TPM RASD セクションがある OVF をアップロードすると、定義済みの TPM がある各仮想マシンに新しい TPM デバイスが接続されます。

vApp テンプレートからの vApp の作成 コピーと置き換え

vApp テンプレートによって異なります。

コピーと置き換え

vApp テンプレートによって異なります。

vCenter Server からの仮想マシンの vApp としてのインポート コピー コピー
仮想マシンの vApp への追加 新しい TPM デバイス 新しい TPM デバイス
テンプレートから vApp への仮想マシンの追加 コピーと置き換え

特定の仮想マシン テンプレートによって異なります。

コピーと置き換え

特定の仮想マシン テンプレートによって異なります。

異なる vApp への仮想マシンのコピー コピー コピーと置き換え
異なる vApp への仮想マシンの移動 コピー コピー

別の VDC への停止した vApp のコピー

パワーオン状態の vApp のコピー

コピー

vApp 内のすべての TPM デバイスに適用されます。

コピーと置き換え

vApp 内のすべての TPM デバイスに適用されます。

vApp の vApp テンプレートとしてのカタログへの保存 コピーと置き換え コピーと置き換え
OVF ファイルからの vApp テンプレートの作成 新しい TPM デバイス

TPM RASD セクションがある OVF をアップロードすると、定義済みの TPM がある各仮想マシンに新しい TPM デバイスが接続されます。

新しい TPM デバイス

TPM RASD セクションがある OVF をアップロードすると、定義済みの TPM がある各仮想マシンに新しい TPM デバイスが接続されます。

TPM デバイスをコピーするか置き換えるかを API で指定しない場合、VMware Cloud Director はデフォルトで TPM をコピーします。vApp のユーザー インターフェイスで操作を実行する場合、TPM をコピーまたは置き換えるオプションは、vApp 内のすべての仮想マシンに適用されます。

TPM デバイスを含む vApp テンプレートから仮想マシンをインスタンス化する場合は、いくつかの考慮事項に注意する必要があります。
  • VMware Cloud Director を使用してテンプレートが作成されている場合は、インスタンス化の際に、テンプレートのキャプチャ時に選択した [TPM プロビジョニング] オプションに応じて TPM デバイスのコピーまたは置き換えが行われます。
  • OVF または OVA のアップロードによってテンプレートが作成されている場合は、インスタンス化の際に TPM デバイスが置き換えられます。
  • vCenter Server からの仮想マシンのインポートによってテンプレートが作成されている場合は、インスタンス化の際に TPM デバイスがコピーされます。
  • ターゲット vCenter Server が TPM 要件を満たしている場合は、複数のテンプレートの vCenter Server インスタンスにわたってインスタンス化を実行でき、そのテンプレートで、インスタンス化の際に VMware Cloud Director が TPM デバイスを置き換えます。

VMware Cloud Director API を使用する場合、仮想マシンに関連付けられているキー プロバイダがターゲット vCenter Server インスタンスに含まれていれば、VMware Cloud Director では TPM デバイスがある仮想マシンに対する moveVApp API がサポートされます。moveVApp API に共有ストレージ要件はありません。vApp の移動を伴うその他の操作には、共有ストレージ要件があります。

vCenter Server インスタンスから TPM デバイスを含む仮想マシンを vApp としてインポートすると、copy および move 操作のために TPM デバイスが保持されます。

vCenter Server に対する TPM の前提条件については、『vSphere Security』ガイドのCreate a Virtual Machine with a Virtual Trusted Platform ModuleまたはAdd Virtual Trusted Platform Module to an Existing Virtual Machineで前提条件のセクションを参照してください。