從 VMware Cloud Director 10.4.2 開始,可以建立、複製和編輯具有信賴平台模組 (TPM) 裝置的虛擬機器和 vApp。TPM 是實體信賴平台模組 2.0 晶片的基於軟體的表示。TPM 可像任何其他虛擬裝置一樣運作。
TPM 提供以硬體為基礎的安全相關功能,例如隨機數字產生、證明、金鑰產生等。將 TPM 新增至虛擬機器時,TPM 使客體作業系統能夠建立和儲存私密金鑰。客體作業系統無法存取這些金鑰,這會減少虛擬機器攻擊面。通常,破壞客體作業系統會破壞其密碼,但啟用 TPM 可大幅降低此風險。只有客體作業系統才能使用這些金鑰進行加密或簽署。透過連結 TPM,用戶端可以遠端證明虛擬機器的身分,並驗證其正在執行的軟體。
TPM 不需要 ESXi 主機上存在實體信賴平台模組 2.0 晶片。從虛擬機器角度來看,TPM 是一個虛擬裝置。您可以將 TPM 新增至新虛擬機器或現有的虛擬機器。若要保護重要的 TPM 資料,TPM 仰賴於虛擬機器加密,並且您必須設定金鑰提供者。設定 TPM 時,會加密虛擬機器檔案而非磁碟。
如需承租人相關資訊,請參閱使用虛擬機器主題。
- 虛擬機器需求
- EFI 韌體
- 虛擬機器硬體版本 14 及更新版本
- 元件需求
- 適用於 Windows 虛擬機器的 vCenter Server 6.7 及更新版本,適用於 Linux 虛擬機器的 vCenter Server 7.0 Update 2 及更新版本
- 為 vCenter Server 設定的原生金鑰提供者、標準金鑰提供者或受信任金鑰提供者。請參閱 VMware vSphere 安全性說明文件中的〈設定和管理標準金鑰提供者〉、〈設定和管理 vSphere Native Key Provider〉或〈受信任基礎結構概觀〉章節。
- 客體作業系統支援
- Linux
- Windows Server 2008 及更新版本
- Windows 7 及更新版本
- 複製虛擬機器
- 移動虛擬機器
- 複製 vApp
- 移動 vApp
- 當 vApp 範本在具現化期間複製 TPM 時,具現化該範本。
- 將 vApp 作為 vApp 範本儲存至目錄
- 將獨立虛擬機器新增至目錄
- 從 OVF 檔案建立 vApp 範本
- 從 vCenter Server 匯入虛擬機器
- 用於加密每個虛擬機器的金鑰提供者必須在目標 vCenter Server 執行個體上以相同的名稱登錄。
- 虛擬機器和目標 vCenter Server 執行個體位於同一共用儲存區上。或者,必須啟用快速跨 vCenter Server vApp 具現化。請參閱 VMware Cloud Director 10.4 版本說明中的快速跨 vCenter Server vApp 具現化資訊。
- 將 vApp 作為 vApp 範本儲存至目錄
- 將獨立虛擬機器新增至目錄
- 從 OVF 檔案建立 vApp 範本
- 將虛擬機器作為範本從 vCenter Server 匯入
- 複製虛擬機器
- 複製 vApp
- 撰寫 vApp
| 作業 | vCenter Server 7.x | vCenter Server 8.x |
|---|---|---|
| 建立獨立虛擬機器 | 新增 TPM 裝置 | 新增 TPM 裝置 |
| 從範本建立虛擬機器 | 複製並取代 取決於特定的虛擬機器範本。 |
複製並取代 取決於特定的虛擬機器範本。 |
| 建置新的 vApp | 複製並取代 取決於特定的虛擬機器範本。 |
複製並取代 取決於特定的虛擬機器範本。 |
| 從 OVF 套件建立 vApp | 新增 TPM 裝置 上傳具有 TPM |
新增 TPM 裝置 上傳具有 TPM |
| 從 vApp 範本建立 vApp | 複製並取代 取決於 vApp 範本。 |
複製並取代 取決於 vApp 範本。 |
| 將虛擬機器作為 vApp 從 vCenter Server 匯入 | 複製 | 複製 |
| 新增虛擬機器至 vApp | 新增 TPM 裝置 | 新增 TPM 裝置 |
| 將範本中的虛擬機器新增至 vApp | 複製並取代 取決於特定的虛擬機器範本。 |
複製並取代 取決於特定的虛擬機器範本。 |
| 將虛擬機器複製到不同的 vApp | 複製 | 複製並取代 |
| 將虛擬機器移動至不同的 vApp | 複製 | 複製 |
| 複製 適用於 vApp 中的所有 TPM 裝置。 |
複製並取代 適用於 vApp 中的所有 TPM 裝置。 |
|
| 將 vApp 作為 vApp 範本儲存至目錄 | 複製並取代 | 複製並取代 |
| 從 OVF 檔案建立 vApp 範本 | 新增 TPM 裝置 上傳具有 TPM |
新增 TPM 裝置 上傳具有 TPM |
如果未在 API 中指定是複製還是取代 TPM 裝置,則預設情況下,VMware Cloud Director 會複製 TPM。在使用者介面中對 vApp 執行作業時,用於複製或取代 TPM 的選項適用於 vApp 中的所有虛擬機器。
- 如果範本是使用 VMware Cloud Director 建立的,則在擷取範本時,具現化將根據所選 TPM 佈建選項複製或取代 TPM 裝置。
- 如果範本是透過上傳 OVF 或 OVA 建立的,則具現化會取代 TPM 裝置。
- 如果範本是透過從 vCenter Server 匯入虛擬機器建立的,則具現化會複製 TPM 裝置。
- 如果目標 vCenter Server 滿足 TPM 需求,則可以跨 vCenter Server 執行個體對 VMware Cloud Director 在具現化期間取代 TPM 裝置的範本執行具現化。
使用 VMware Cloud Director API 時,如果目標 VMware Cloud Director 執行個體包含與虛擬機器關聯的金鑰提供者,則 moveVApp 支援具有 TPM 裝置的虛擬機器使用 vCenter Server API。moveVApp API 沒有共用儲存區需求。涉及移動 vApp 的其他作業有共用儲存區需求。
將包含 TPM 裝置的虛擬機器作為 vApp 從 vCenter Server 執行個體匯入會保留 TPM 裝置以用於 copy 和 move 作業。
如需 vCenter Server 的 TPM 必要條件,請參閱《vSphere 安全性》指南中的〈建立具有虛擬信賴平台模組的虛擬機器〉或〈向現有虛擬機器新增虛擬信賴平台模組〉。
