今天我将向您展示在 VMware vSphere ESXi 上使用 vTPM 创建和部署虚拟机的最简单、最快捷的方法!
大多数人都知道,Windows 11 需要安全启动以及 TPM 模块。毫无疑问,我们也可能在未来的 Microsoft Windows Server 操作系统中看到这一要求。
当用户努力在自己的工作站上部署 TPM 模块以获得 Windows 11 升级资格时,ESXi 管理员也在努力在其虚拟化基础设施上部署虚拟 TPM 模块或 vTPM 模块。
什么是 TPM 模块?
TPM 代表可信平台模块。 可信平台模块是计算机内部或外部的硬件(或芯片),可为计算机、系统或计算机提供安全计算功能。它附加到的服务器。
该 TPM 模块提供随机数生成器、加密密钥和加密信息存储等功能,并有助于主机系统的安全身份验证。
在虚拟化环境中,我们需要使用虚拟 TPM 模块(即 vTPM)来模拟该物理设备。
什么是虚拟 TPM (vTPM) 模块?
vTPM 模块是传统物理 TPM 模块的虚拟化软件实例。 vTPM 可以附加到虚拟机,并提供与物理 TPM 模块向物理系统提供的相同特性和功能。
vTPM 模块可与 VMware vSphere ESXi 一起部署,并可用于在 ESXi 上部署 Windows 11。
vTPM 模块的部署需要 vCenter Server 上的密钥提供程序。
在 VMware vSphere ESXi 上部署 vTPM(虚拟 TPM 模块)
为了在 VMware vSphere ESXi 上部署 vTPM 模块(以及虚拟机加密、vSAN 加密),您需要在 vCenter Server 上配置密钥提供程序。
传统上,这可以通过使用密钥管理服务器 (KMS) 的标准密钥提供程序来完成,但这需要第三方 KMS 服务器,并且我认为这是一个复杂的部署。
自 vSphere 7 Update 2 (7U2) 起,VMware 通过 vCenter Server 上的本机密钥提供程序 (NKP) 使这一过程变得简单。
本机密钥提供程序允许您轻松部署 vTPM 模块、虚拟机加密、vSAN 加密等技术,最棒的是,它全部内置于 vCenter Server 中。
启用 VMware 本机密钥提供程序 (NKP)
要在 vSphere 基础架构中启用 NKP,请执行以下操作:
- 登录到您的 vCenter Server
- 从清单列表中选择您的 vCenter Server
- 选择“关键提供商”
- 单击“添加”,然后选择“添加本机密钥提供程序”
- 给新的 NKP 起一个好听的名字
- 取消选择“仅对受 TPM 保护的 ESXi 主机使用密钥提供程序”,以允许没有 TPM 的 ESXi 主机能够使用本机密钥提供程序。
为了激活新的本机密钥提供程序,您需要单击“备份”以确保已备份。将此备份保存在安全的地方。备份完成后,您的 NKP 将处于活动状态并可供 ESXi 主机使用。
配置了本机密钥提供程序 (NKP) 的 VMware vCenter
还有一些额外的事情需要注意:
- 您的 ESXi 主机不需要物理 TPM 模块即可使用本机密钥提供程序
- 只需确保禁用“仅对受 TPM 保护的 ESXi 主机使用密钥提供程序”复选框即可
- NKP 可用于在所有版本的 vSphere 上启用 vTPM 模块
- 如果您的 ESXi 主机具有 TPM 模块,则将本机密钥提供程序与主机 TPM 模块结合使用可以提供增强的安全性
- 板载 TPM 模块允许在 vCenter 服务器脱机时存储和使用密钥
- 如果删除本机密钥提供程序,您还将删除与其一起存储的所有密钥。
- 确保您已备份
- 删除之前请确保没有任何主机/虚拟机使用 NKP
您现在可以将 vTPM 模块部署到 VMware 环境中的虚拟机。