VMware Cloud Director 10.4.2부터는 TPM(신뢰할 수 있는 플랫폼 모듈) 디바이스가 있는 vApp 및 VM을 생성, 복사 및 편집할 수 있습니다. TPM은 물리적 TPM(신뢰할 수 있는 플랫폼 모듈) 2.0 칩의 소프트웨어 기반 표현입니다. TPM은 기타 가상 디바이스로 작동합니다.

TPM은 임의 번호 생성, 증명, 키 생성 등과 같은 하드웨어 기반의 보안 관련 기능을 제공합니다. VM에 TPM을 추가하면 TPM을 통해 게스트 운영 체제에서 개인 키를 생성하고 저장할 수 있습니다. 게스트 운영 체제는 이러한 키에 액세스할 수 없으므로 VM 공격 표면이 줄어듭니다. 일반적으로 게스트 운영 체제가 손상되면 암호가 손상되지만 TPM을 사용하도록 설정하면 이 위험이 크게 줄어듭니다. 게스트 운영 체제만 암호화 또는 서명에 이러한 개인 키를 사용할 수 있습니다. TPM이 연결되어 있으면 클라이언트가 VM의 ID를 원격으로 검증하고 실행 중인 소프트웨어를 확인할 수 있습니다.

TPM을 사용하기 위해 ESXi 호스트에 물리적 신뢰할 수 있는 플랫폼 모듈 2.0 칩이 있을 필요가 없습니다. VM의 관점에서 TPM은 가상 디바이스입니다. 새 VM 또는 기존 VM에 TPM을 추가할 수 있습니다. 중요한 TPM 데이터를 보호하기 위해 TPM은 VM 암호화에 의존하며 키 제공자를 구성해야 합니다. TPM을 구성할 때 VM 파일은 암호화되지만 디스크는 암호화되지 않습니다.

테넌트 관련 정보는 가상 시스템 작업 항목을 참조하십시오.

VM에 TPM 디바이스를 추가하려면 vSphere 환경이 특정 요구 사항을 충족해야 합니다.
vCenter Server 인스턴스에서 TPM이 있는 VM에 대해 특정 작업을 수행하려면 환경이 특정 사전 요구 사항을 충족하는지 확인해야 합니다. 작업은 다음과 같습니다.
  • VM 복사
  • VM 이동
  • vApp 복사
  • vApp 이동
  • 인스턴스화 중에 템플릿이 TPM을 복사할 때 vApp 템플릿을 인스턴스화합니다.
  • vApp을 vApp 템플릿으로 카탈로그에 저장
  • 독립형 VM을 카탈로그에 추가
  • OVF 파일에서 vApp 템플릿 생성
  • vCenter Server에서 VM 가져오기
여러 vCenter Server 인스턴스에서 작업을 수행하려면 환경이 다음 조건을 충족해야 합니다.
  • 각 VM을 암호화하는 데 사용되는 키 제공자는 대상 vCenter Server 인스턴스에 동일한 이름으로 등록되어야 합니다.
  • VM과 대상 vCenter Server 인스턴스는 동일한 공유 스토리지에 있습니다. 또는 빠른 크로스 vCenter Server vApp 인스턴스화를 활성화해야 합니다. VMware Cloud Director 10.4 릴리스 정보에서 빠른 크로스 vCenter Server vApp 인스턴스화 정보를 참조하십시오.
TPM 디바이스가 있는 VM의 경우 대상 카탈로그가 여러 백업 vCenter Server 인스턴스가 있는 조직에서 사용 가능한 스토리지를 사용하는 경우 VMware Cloud Director는 다음 작업을 지원하지 않습니다.
  • vApp을 vApp 템플릿으로 카탈로그에 저장
  • 독립형 VM을 카탈로그에 추가
  • OVF 파일에서 vApp 템플릿 생성
  • vCenter Server에서 VM을 템플릿으로 가져오기
대상 vCenter Server 인스턴스가 버전 8.0 이상인 경우 다음 작업 중에 VM의 TPM 디바이스를 교체할 수 있습니다.
  • VM 복사
  • vApp 복사
  • vApp 작성
표 1. vCenter Server 버전에 따른 TPM 디바이스 옵션
작업 vCenter Server 7.x vCenter Server 8.x
독립형 가상 시스템 만들기 새 TPM 디바이스 새 TPM 디바이스
템플릿에서 가상 시스템 만들기 복사 및 바꾸기

특정 VM 템플릿에 따라 다릅니다.

복사 및 바꾸기

특정 VM 템플릿에 따라 다릅니다.

새 vApp 작성 복사 및 바꾸기

특정 VM 템플릿에 따라 다릅니다.

복사 및 바꾸기

특정 VM 템플릿에 따라 다릅니다.

OVF 패키지에서 vApp 만들기 새 TPM 디바이스

TPM RASD 섹션이 있는 OVF를 업로드하면 정의된 TPM이 있는 각 VM에 새 TPM 디바이스가 연결됩니다.

새 TPM 디바이스

TPM RASD 섹션이 있는 OVF를 업로드하면 정의된 TPM이 있는 각 VM에 새 TPM 디바이스가 연결됩니다.

vApp 템플릿에서 vApp 만들기 복사 및 바꾸기

vApp 템플릿에 따라 다릅니다.

복사 및 바꾸기

vApp 템플릿에 따라 다릅니다.

vCenter Server의 가상 시스템을 vApp으로 가져오기 복사 복사
vApp에 가상 시스템 추가 새 TPM 디바이스 새 TPM 디바이스
템플릿의 VM을 vApp에 추가 복사 및 바꾸기

특정 VM 템플릿에 따라 다릅니다.

복사 및 바꾸기

특정 VM 템플릿에 따라 다릅니다.

다른 vApp에 가상 시스템 복사 복사 복사 및 바꾸기
다른 vApp으로 가상 시스템 이동 복사 복사

다른 VDC에 중지된 vApp 복사

전원이 켜진 vApp 복사

복사

vApp 내의 모든 TPM 디바이스에 적용됩니다.

복사 및 바꾸기

vApp 내의 모든 TPM 디바이스에 적용됩니다.

vApp을 vApp 템플릿으로 카탈로그에 저장 복사 및 바꾸기 복사 및 바꾸기
OVF 파일에서 vApp 템플릿 만들기 새 TPM 디바이스

TPM RASD 섹션이 있는 OVF를 업로드하면 정의된 TPM이 있는 각 VM에 새 TPM 디바이스가 연결됩니다.

새 TPM 디바이스

TPM RASD 섹션이 있는 OVF를 업로드하면 정의된 TPM이 있는 각 VM에 새 TPM 디바이스가 연결됩니다.

API에서 TPM 디바이스를 복사하거나 교체할지 여부를 지정하지 않으면 VMware Cloud Director는 기본적으로 TPM을 복사합니다. UI에서 vApp에 대한 작업을 수행할 때 TPM을 복사하거나 교체하는 옵션은 vApp 내의 모든 VM에 적용됩니다.

TPM 디바이스가 포함된 vApp 템플릿에서 VM을 인스턴스화할 때 고려해야 할 몇 가지 사항이 있습니다.
  • VMware Cloud Director를 사용하여 템플릿을 생성한 경우 인스턴스화는 템플릿이 캡처될 때 선택한 TPM 프로비저닝 옵션을 기반으로 TPM 디바이스를 복사하거나 교체합니다.
  • OVF 또는 OVA를 업로드하여 템플릿을 생성한 경우 인스턴스화는 TPM 디바이스를 교체합니다.
  • vCenter Server에서 VM을 가져와 템플릿을 생성한 경우 인스턴스화는 TPM 디바이스를 복사합니다.
  • 대상 vCenter Server가 TPM 요구 사항을 충족하는 경우 인스턴스화 중에 VMware Cloud Director가 TPM 디바이스를 교체하는 템플릿에 대해 vCenter Server 인스턴스 간에 인스턴스화를 수행할 수 있습니다.

VMware Cloud Director API를 사용하는 경우 대상 vCenter Server 인스턴스에 VM과 연결된 키 제공자가 포함된 경우 VMware Cloud Director는 TPM 디바이스가 있는 VM에 대해 moveVApp API를 지원합니다. moveVApp API에 대한 공유 스토리지 요구 사항은 없습니다. vApp 이동과 관련된 다른 작업에는 공유 스토리지 요구 사항이 있습니다.

vCenter Server 인스턴스에서 TPM 디바이스가 포함된 VM을 vApp으로 가져오면 copymove 작업에 대한 TPM 디바이스가 보존됩니다.

vCenter Server에 대한 TPM사전 요구 사항은 "vSphere 보안" 가이드에서 신뢰할 수 있는 가상 플랫폼 모듈을 사용하여 가상 시스템 생성 또는 기존 가상 시스템에 신뢰할 수 있는 가상 플랫폼 모듈 추가의 사전 요구 사항 섹션을 참조하십시오.