VMware Cloud Director 10.4.2 以降では、Trusted Platform Module (TPM) デバイスを備えた仮想マシンと vApp を作成、コピー、編集できます。TPM は、物理的な Trusted Platform Module 2.0 チップをソフトウェアにしたものです。TPM は、他のすべての仮想デバイスと同様に動作します。
TPM は、ランダムな番号の生成、証明、キーの生成など、ハードウェア ベースのセキュリティ関連の機能を提供します。TPM を仮想マシンに追加すると、TPM によってゲスト OS がプライベート キーを作成および保存できるようになります。ゲスト OS はこれらのキーにアクセスできないため、仮想マシンの攻撃対象領域が減少します。通常、ゲスト OS の侵害が起きると機密情報が侵害されますが、ゲスト OS で TPM を有効にしておくと、このリスクを大幅に低減できます。暗号化や署名にこれらのキーを使用できるのはゲスト OS のみです。アタッチされた TPM を使用することで、クライアントは仮想マシンの ID をリモートで認証し、実行中のソフトウェアを確認できます。
TPM を利用する場合、ESXi ホストに物理的な Trusted Platform Module 2.0 チップは不要です。仮想マシンから見ると、TPM は仮想デバイスです。TPM は、新しい仮想マシンと既存の仮想マシンのどちらにも追加できます。重要な TPM データを保護するために、TPM は仮想マシンの暗号化に依存しており、キー プロバイダを構成する必要があります。TPM を構成すると、仮想マシン ファイルは暗号化されますが、ディスクは暗号化されません。
テナント関連の情報については、「仮想マシンの操作」を参照してください。
- 仮想マシンの要件
- EFI ファームウェア
- 仮想マシン ハードウェア バージョン 14 以降
- コンポーネントの要件
- vCenter 6.7 以降(Windows 仮想マシンの場合)、vCenter 7.0 Update 2 以降(Linux 仮想マシンの場合)
- vCenter 用に構成されたネイティブ、標準、または信頼済みキー プロバイダ。『VMware vSphere Security』ドキュメントのConfiguring and Managing a Standard Key Provider、Configuring and Managing vSphere Native Key Provider、またはTrusted Infrastructure Overviewの各章を参照してください。
- ゲスト OS のサポート
- Linux
- Windows Server 2008 以降
- Windows 7 以降
- 仮想マシンのコピー
- 仮想マシンの移動
- vApp をコピー
- vApp の移動
- vApp テンプレートのインスタンス化(インスタンス化中にテンプレートが TPM をコピーする場合)。
- vApp の vApp テンプレートとしてのカタログへの保存
- カタログへのスタンドアローン仮想マシンの追加
- OVF ファイルからの vApp テンプレートの作成
- vCenter からの仮想マシンのインポート
- 各仮想マシンの暗号化に使用するキー プロバイダは、ターゲットの vCenter インスタンスに同じ名前で登録する必要があります。
- 仮想マシンとターゲットの vCenter インスタンスが同じ共有ストレージ上にあること。または、vCenter の高速クロス vApp インスタンス化が有効になっていること。クロス vCenter vApp 高速インスタンス化については、VMware Cloud Director 10.4 リリース ノートを参照してください。
- vApp の vApp テンプレートとしてのカタログへの保存
- カタログへのスタンドアローン仮想マシンの追加
- OVF ファイルからの vApp テンプレートの作成
- vCenter からのテンプレートとしての仮想マシンのインポート
- 仮想マシンのコピー
- vApp をコピー
- vApp の作成
| 操作 | vCenter 7.x | vCenter 8.x |
|---|---|---|
| スタンドアローン仮想マシンの作成 | 新しい TPM デバイス | 新しい TPM デバイス |
| テンプレートからの仮想マシンの作成 | コピーと置き換え 特定の仮想マシン テンプレートによって異なります。 |
コピーと置き換え 特定の仮想マシン テンプレートによって異なります。 |
| 新規 vApp の構築 | コピーと置き換え 特定の仮想マシン テンプレートによって異なります。 |
コピーと置き換え 特定の仮想マシン テンプレートによって異なります。 |
| OVF パッケージからの vApp フォームの作成 | 新しい TPM デバイス TPM |
新しい TPM デバイス TPM |
| vApp テンプレートからの vApp の作成 | コピーと置き換え vApp テンプレートによって異なります。 |
コピーと置き換え vApp テンプレートによって異なります。 |
| vCenter Server からの仮想マシンの vApp としてのインポート | コピー | コピー |
| 仮想マシンの vApp への追加 | 新しい TPM デバイス | 新しい TPM デバイス |
| テンプレートから vApp への仮想マシンの追加 | コピーと置き換え 特定の仮想マシン テンプレートによって異なります。 |
コピーと置き換え 特定の仮想マシン テンプレートによって異なります。 |
| 異なる vApp への仮想マシンのコピー | コピー | コピーと置き換え |
| 異なる vApp への仮想マシンの移動 | コピー | コピー |
| コピー vApp 内のすべての TPM デバイスに適用されます。 |
コピーと置き換え vApp 内のすべての TPM デバイスに適用されます。 |
|
| vApp の vApp テンプレートとしてのカタログへの保存 | コピーと置き換え | コピーと置き換え |
| OVF ファイルからの vApp テンプレートの作成 | 新しい TPM デバイス TPM |
新しい TPM デバイス TPM |
TPM デバイスをコピーするか置き換えるかを API で指定しない場合、VMware Cloud Director はデフォルトで TPM をコピーします。vApp のユーザー インターフェイスで操作を実行する場合、TPM をコピーまたは置き換えるオプションは、vApp 内のすべての仮想マシンに適用されます。
- VMware Cloud Director を使用してテンプレートが作成されている場合は、インスタンス化の際に、テンプレートのキャプチャ時に選択した [TPM プロビジョニング] オプションに応じて TPM デバイスのコピーまたは置き換えが行われます。
- OVF または OVA のアップロードによってテンプレートが作成されている場合は、インスタンス化の際に TPM デバイスが置き換えられます。
- vCenter からの仮想マシンのインポートによってテンプレートが作成されている場合は、インスタンス化の際に TPM デバイスがコピーされます。
- ターゲット vCenter が TPM 要件を満たしている場合は、複数のテンプレートの vCenter インスタンスにわたってインスタンス化を実行でき、そのテンプレートで、インスタンス化の際に VMware Cloud Director が TPM デバイスを置き換えます。
VMware Cloud Director API を使用する場合、仮想マシンに関連付けられているキー プロバイダがターゲット vCenter インスタンスに含まれていれば、VMware Cloud Director では TPM デバイスがある仮想マシンに対する moveVApp API がサポートされます。moveVApp API に共有ストレージ要件はありません。vApp の移動を伴うその他の操作には、共有ストレージ要件があります。
vCenter インスタンスから TPM デバイスを含む仮想マシンを vApp としてインポートすると、copy および move 操作のために TPM デバイスが保持されます。
vCenter に対する TPM の前提条件については、『vSphere Security』ガイドのCreate a Virtual Machine with a Virtual Trusted Platform ModuleまたはAdd Virtual Trusted Platform Module to an Existing Virtual Machineで前提条件のセクションを参照してください。
