VMware Cloud Director 仮想マシン (VM) では、物理マシン上で実行できる操作に加え、仮想マシンの状態のスナップショットの作成やホスト間での仮想マシンの移動などの仮想インフラストラクチャ操作がサポートされています。

仮想マシンとは、物理コンピュータのようにオペレーティング システムとアプリケーションを実行するソフトウェア コンピュータです。仮想マシンは、一連の仕様および構成ファイルで構成され、ホストの物理リソースでバッキングされています。すべての仮想マシンには、物理ハードウェアと同一の機能を提供する一方で可搬性、管理、およびセキュリティの点で優れる仮想デバイスがあります。

仮想マシンは IPv6 接続をサポートします。IPv6 ネットワークに接続された仮想マシンには IPv6 アドレスを割り当てることができます。

重要: このドキュメントでは、カード ビューから仮想マシンを操作するための手順が説明されています。この手順では、複数の仮想データセンター (VDC) があることが前提となっています。グリッド ビューから同じ操作を実行することも可能ですが、手順は多少異なることがあります。

Trusted Platform Module を使用する仮想マシンの保護

Trusted Platform Module (TPM) デバイスを備えた仮想マシンを作成、コピー、編集できます。TPM は、物理的な Trusted Platform Module 2.0 チップをソフトウェアにしたものです。TPM は、他のすべての仮想デバイスと同様に動作します。

TPM は、ランダムな番号の生成、証明、キーの生成など、ハードウェア ベースのセキュリティ関連の機能を提供します。TPM を仮想マシンに追加すると、TPM によってゲスト OS がプライベート キーを作成および保存できるようになります。ゲスト OS はこれらのキーにアクセスできないため、仮想マシンの攻撃対象領域が減少します。通常、ゲスト OS の侵害が起きると機密情報が侵害されますが、ゲスト OS で TPM を有効にしておくと、このリスクを大幅に低減できます。暗号化や署名にこれらのキーを使用できるのはゲスト OS のみです。アタッチされた TPM を使用することで、クライアントは仮想マシンの ID をリモートで認証し、実行中のソフトウェアを確認できます。

TPM を利用する場合、ESXi ホストに物理的な Trusted Platform Module 2.0 チップは不要です。仮想マシンから見ると、TPM は仮想デバイスです。TPM は、新しい仮想マシンと既存の仮想マシンのどちらにも追加できます。重要な TPM データを保護するために、TPM は仮想マシンの暗号化に依存しており、キー プロバイダを構成する必要があります。TPM を構成すると、仮想マシン ファイルは暗号化されますが、ディスクは暗号化されません。

TPM デバイスを仮想マシンに追加するには、環境が次の要件を満たしている必要があります。
  • 仮想マシンがパワーオフ状態である。
  • 仮想マシンにスナップショットがない。
  • TPM をサポートする仮想データセンターが仮想マシンをバッキングしている。
  • 仮想マシンのファームウェアが EFI である。
  • 仮想マシンのハードウェア バージョンがバージョン 14 以降である。
  • ゲスト OS に TPM との互換性がある。
TPM デバイスを仮想マシンから削除するには、環境が次の要件を満たしている必要があります。
  • 仮想マシンがパワーオフ状態である。
  • 仮想マシンにスナップショットがない。

複数の vCenter インスタンス内の仮想マシンに対して TPM が特定の操作を実行するには、環境が特定の前提条件を満たしていることを確認する必要があります。

操作 前提条件
仮想マシンのコピー
  • 各仮想マシンの暗号化に使用するキー プロバイダは、ターゲットの vCenter インスタンスに同じ名前で登録する必要があります。
  • 仮想マシンとターゲットの vCenter インスタンスが同じ共有ストレージ上に存在するか、vCenter の高速クロス vApp インスタンス化が有効になっていることを確認します。クロス vCenter vApp 高速インスタンス化については、VMware Cloud Director 10.4 リリース ノートを参照してください。
仮想マシンの移動
vApp をコピー
vApp の移動
テンプレートからの仮想マシンの作成
vApp の vApp テンプレートとしてのカタログへの保存
カタログへのスタンドアローン仮想マシンの追加
OVF ファイルからの vApp テンプレートの作成
vCenter からの仮想マシンのインポート
TPM デバイスを含む仮想マシンについては、複数のバッキング vCenter インスタンスを持つ組織内の使用可能なストレージをターゲット カタログが使用している場合、 VMware Cloud Director は次の操作をサポートしません。
  • vApp の vApp テンプレートとしてのカタログへの保存
  • カタログへのスタンドアローン仮想マシンの追加
  • OVF ファイルからの vApp テンプレートの作成
  • vCenter からのテンプレートとしての仮想マシンのインポート
ターゲット vCenter インスタンスがバージョン 8.0 以降の場合は、次の操作中に仮想マシンの TPM デバイスを置き換えることができます。
  • 仮想マシンのコピー
  • vApp をコピー
  • vApp の作成
表 1. vCenter のバージョンに応じた TPM デバイスのオプション
操作 vCenter 7.x vCenter 8.x
VMware Cloud Director Tenant Portalでのスタンドアローン仮想マシンの作成 新しい TPM デバイス 新しい TPM デバイス
テンプレートからの仮想マシンの作成 コピーと置き換え

特定の仮想マシン テンプレートによって異なります。

コピーと置き換え

特定の仮想マシン テンプレートによって異なります。

仮想マシン テンプレートを使用した vApp の作成 コピーと置き換え

特定の仮想マシン テンプレートによって異なります。

コピーと置き換え

特定の仮想マシン テンプレートによって異なります。

OVF パッケージからの vApp フォームの作成 新しい TPM デバイス

TPM RASD セクションがある OVF をアップロードすると、定義済みの TPM がある各仮想マシンに新しい TPM デバイスが接続されます。

新しい TPM デバイス

TPM RASD セクションがある OVF をアップロードすると、定義済みの TPM がある各仮想マシンに新しい TPM デバイスが接続されます。

テンプレートからの vApp の作成 コピーと置き換え

vApp テンプレートによって異なります。

コピーと置き換え

vApp テンプレートによって異なります。

vCenter Server からの仮想マシンの vApp としてのインポート コピー コピー
vApp への新しい仮想マシンの追加 新しい TPM デバイス 新しい TPM デバイス
テンプレートから vApp への仮想マシンの追加 コピーと置き換え

特定の仮想マシン テンプレートによって異なります。

コピーと置き換え

特定の仮想マシン テンプレートによって異なります。

異なる vApp への仮想マシンのコピー コピー コピーと置き換え
異なる vApp への仮想マシンの移動 コピー コピー

別の VDC への停止した vApp のコピー

VMware Cloud Director Tenant Portalでのパワーオン状態の vApp のコピー

コピー

vApp 内のすべての TPM デバイスに適用されます。

コピーと置き換え

vApp 内のすべての TPM デバイスに適用されます。

VMware Cloud Director Tenant Portalでの vApp の vApp テンプレートとしてのカタログへの保存 コピーと置き換え コピーと置き換え
VMware Cloud Director Tenant Portal を使用した OVF ファイルからの vApp テンプレートの作成 新しい TPM デバイス

TPM RASD セクションがある OVF をアップロードすると、定義済みの TPM がある各仮想マシンに新しい TPM デバイスが接続されます。

新しい TPM デバイス

TPM RASD セクションがある OVF をアップロードすると、定義済みの TPM がある各仮想マシンに新しい TPM デバイスが接続されます。

TPM デバイスをコピーするか置き換えるかを API で指定しない場合、VMware Cloud Director はデフォルトで TPM をコピーします。vApp のユーザー インターフェイスで操作を実行する場合、TPM をコピーまたは置き換えるオプションは、vApp 内のすべての仮想マシンに適用されます。

TPM デバイスを含む vApp テンプレートから仮想マシンをインスタンス化する場合は、いくつかの考慮事項に注意する必要があります。
  • VMware Cloud Director を使用してテンプレートが作成されている場合は、インスタンス化の際に、テンプレートのキャプチャ時に選択した [TPM プロビジョニング] オプションに応じて TPM デバイスのコピーまたは置き換えが行われます。
  • OVF または OVA のアップロードによってテンプレートが作成されている場合は、インスタンス化の際に TPM デバイスが置き換えられます。
  • vCenter からの仮想マシンのインポートによってテンプレートが作成されている場合は、インスタンス化の際に TPM デバイスがコピーされます。
  • ターゲット vCenter が TPM 要件を満たしている場合は、複数のテンプレートの vCenter インスタンスにわたってインスタンス化を実行でき、そのテンプレートで、インスタンス化の際に VMware Cloud Director が TPM デバイスを置き換えます。

TPM デバイスに関するテンプレートを含むカタログにサブスクライブする場合、サブスクライバの VMware Cloud Director バージョンは 10.4.2 以降である必要があります。サブスクライバの VMware Cloud Director バージョンが 10.4.1 以前の場合、テンプレートに TPM デバイスは含まれていません。

vCenter に対する TPM の前提条件については、『vSphere Security』ガイドのCreate a Virtual Machine with a Virtual Trusted Platform ModuleまたはAdd Virtual Trusted Platform Module to an Existing Virtual Machineで前提条件のセクションを参照してください。