VMware Cloud Director 10.4.2 開始,可以建立、複製和編輯具有信賴平台模組 (TPM) 裝置的虛擬機器和 vApp。TPM 是實體信賴平台模組 2.0 晶片的基於軟體的表示。TPM 可像任何其他虛擬裝置一樣運作。

TPM 提供以硬體為基礎的安全相關功能,例如隨機數字產生、證明、金鑰產生等。將 TPM 新增至虛擬機器時,TPM 使客體作業系統能夠建立和儲存私密金鑰。客體作業系統無法存取這些金鑰,這會減少虛擬機器攻擊面。通常,破壞客體作業系統會破壞其密碼,但啟用 TPM 可大幅降低此風險。只有客體作業系統才能使用這些金鑰進行加密或簽署。透過連結 TPM,用戶端可以遠端證明虛擬機器的身分,並驗證其正在執行的軟體。

TPM 不需要 ESXi 主機上存在實體信賴平台模組 2.0 晶片。從虛擬機器角度來看,TPM 是一個虛擬裝置。您可以將 TPM 新增至新虛擬機器或現有的虛擬機器。若要保護重要的 TPM 資料,TPM 仰賴於虛擬機器加密,並且您必須設定金鑰提供者。設定 TPM 時,會加密虛擬機器檔案而非磁碟。

如需承租人相關資訊,請參閱使用虛擬機器主題。

若要將 TPM 裝置新增至虛擬機器,您的 vSphere 環境必須滿足特定需求。
  • 虛擬機器需求
    • EFI 韌體
    • 虛擬機器硬體版本 14 及更新版本
  • 元件需求
  • 客體作業系統支援
    • Linux
    • Windows Server 2008 及更新版本
    • Windows 7 及更新版本
若要跨 vCenter Server 執行個體對具有 TPM 的虛擬機器執行某些作業,必須確認您的環境符合某些必要條件。這些作業包括:
  • 複製虛擬機器
  • 移動虛擬機器
  • 複製 vApp
  • 移動 vApp
  • 當 vApp 範本在具現化期間複製 TPM 時,具現化該範本。
  • 將 vApp 作為 vApp 範本儲存至目錄
  • 將獨立虛擬機器新增至目錄
  • 從 OVF 檔案建立 vApp 範本
  • vCenter Server 匯入虛擬機器
若要跨 vCenter Server 執行個體執行作業,您的環境必須符合以下準則:
  • 用於加密每個虛擬機器的金鑰提供者必須在目標 vCenter Server 執行個體上以相同的名稱登錄。
  • 虛擬機器和目標 vCenter Server 執行個體位於同一共用儲存區上。或者,必須啟用快速跨 vCenter Server vApp 具現化。請參閱 VMware Cloud Director 10.4 版本說明中的快速跨 vCenter Server vApp 具現化資訊。
對於具有 TPM 裝置的虛擬機器,當目標目錄使用具有多個支援的 vCenter Server 執行個體的組織中的任何可用儲存區時, VMware Cloud Director 不支援以下作業:
  • 將 vApp 作為 vApp 範本儲存至目錄
  • 將獨立虛擬機器新增至目錄
  • 從 OVF 檔案建立 vApp 範本
  • 將虛擬機器作為範本從 vCenter Server 匯入
如果目標 vCenter Server 執行個體的版本為 8.0 或更新版本,則可以在執行以下作業期間取代虛擬機器的 TPM 裝置:
  • 複製虛擬機器
  • 複製 vApp
  • 撰寫 vApp
表 1. TPM 裝置選項取決於 vCenter Server 版本
作業 vCenter Server 7.x vCenter Server 8.x
建立獨立虛擬機器 新增 TPM 裝置 新增 TPM 裝置
從範本建立虛擬機器 複製並取代

取決於特定的虛擬機器範本。

複製並取代

取決於特定的虛擬機器範本。

建置新的 vApp 複製並取代

取決於特定的虛擬機器範本。

複製並取代

取決於特定的虛擬機器範本。

從 OVF 套件建立 vApp 新增 TPM 裝置

上傳具有 TPM RASD 部分的 OVF 會將新的 TPM 裝置連結到每個具有已定義 TPM 的虛擬機器。

新增 TPM 裝置

上傳具有 TPM RASD 部分的 OVF 會將新的 TPM 裝置連結到每個具有已定義 TPM 的虛擬機器。

從 vApp 範本建立 vApp 複製並取代

取決於 vApp 範本。

複製並取代

取決於 vApp 範本。

將虛擬機器作為 vApp 從 vCenter Server 匯入 複製 複製
新增虛擬機器至 vApp 新增 TPM 裝置 新增 TPM 裝置
將範本中的虛擬機器新增至 vApp 複製並取代

取決於特定的虛擬機器範本。

複製並取代

取決於特定的虛擬機器範本。

將虛擬機器複製到不同的 vApp 複製 複製並取代
將虛擬機器移動至不同的 vApp 複製 複製

將停止的 vApp 複製到另一個 VDC

複製已開啟電源的 vApp

複製

適用於 vApp 中的所有 TPM 裝置。

複製並取代

適用於 vApp 中的所有 TPM 裝置。

將 vApp 作為 vApp 範本儲存至目錄 複製並取代 複製並取代
從 OVF 檔案建立 vApp 範本 新增 TPM 裝置

上傳具有 TPM RASD 部分的 OVF 會將新的 TPM 裝置連結到每個具有已定義 TPM 的虛擬機器。

新增 TPM 裝置

上傳具有 TPM RASD 部分的 OVF 會將新的 TPM 裝置連結到每個具有已定義 TPM 的虛擬機器。

如果未在 API 中指定是複製還是取代 TPM 裝置,則預設情況下,VMware Cloud Director 會複製 TPM。在使用者介面中對 vApp 執行作業時,用於複製或取代 TPM 的選項適用於 vApp 中的所有虛擬機器。

當從包含 TPM 裝置的 vApp 範本具現化虛擬機器時,必須考慮一些注意事項。
  • 如果範本是使用 VMware Cloud Director 建立的,則在擷取範本時,具現化將根據所選 TPM 佈建選項複製或取代 TPM 裝置。
  • 如果範本是透過上傳 OVF 或 OVA 建立的,則具現化會取代 TPM 裝置。
  • 如果範本是透過從 vCenter Server 匯入虛擬機器建立的,則具現化會複製 TPM 裝置。
  • 如果目標 vCenter Server 滿足 TPM 需求,則可以跨 vCenter Server 執行個體對 VMware Cloud Director 在具現化期間取代 TPM 裝置的範本執行具現化。

使用 VMware Cloud Director API 時,如果目標 VMware Cloud Director 執行個體包含與虛擬機器關聯的金鑰提供者,則 moveVApp 支援具有 TPM 裝置的虛擬機器使用 vCenter Server API。moveVApp API 沒有共用儲存區需求。涉及移動 vApp 的其他作業有共用儲存區需求。

將包含 TPM 裝置的虛擬機器作為 vApp 從 vCenter Server 執行個體匯入會保留 TPM 裝置以用於 copymove 作業。

如需 vCenter Server 的 TPM 必要條件,請參閱《vSphere 安全性》指南中的〈建立具有虛擬信賴平台模組的虛擬機器〉〈向現有虛擬機器新增虛擬信賴平台模組〉