關於虛擬信任平台模組
虛擬信任平台模組 (vTPM) 是以軟體為基礎的實體信任平台模組 (TPM) 2.0 晶片代表。透過 vTPM 功能,您可以將 TPM 2.0 虛擬加密處理器新增至虛擬機器。Google Cloud VMware Engine 支援 vTPM。
您可以透過預設金鑰供應商、Cloud Key Management Service 或外部 KMS 建立 vTPM。建議您先在 vCenter 中將金鑰供應商設為預設金鑰供應商,再建立 vTPM。
在 VM 中新增 vTPM
如要將 vTPM 新增至 VM,請將「信任平台模組」虛擬裝置新增至 VM。詳情請參閱「vSphere 虛擬 TPM (vTPM) 問答」。
工作負載 VM 的 vTPM 和 VM 加密
工作負載 VM 會使用儲存在虛擬信任平台模組 (vTPM) 內的內部種子,加密工作負載資料。新增 vTPM 時,系統預設會加密 VM 主目錄檔案,但不包括虛擬機器磁碟 (VMDK)。如要加密 VMDK,必須分別加密。
資料儲存空間和必要條件
系統會將 vTPM 資料儲存在 VM 主目錄的 NVRAM 檔案中,以及其他 VM 中繼資料。如要使用 vTPM,必須符合下列規定:
- 設定金鑰供應商:您必須設定金鑰供應商,因為 vTPM 功能需要 VM 加密。VM 加密功能可保護 VM 主目錄中的 vTPM 資料。
使用 vTPM 重新設定 VM 金鑰的考量重點
使用 vTPM 裝置重新設定 VM 金鑰時,只會更新加密金鑰,保護 VM 主目錄中的 vTPM 資料。您無法在 vTPM 執行個體化後變更種子。
- 將 vTPM 裝置新增至 VM 時,該裝置會產生內部種子。在客體作業系統上執行的應用程式可以使用這個種子產生密碼或加密金鑰,以保護應用程式資料。
- 此外,在 VM 上啟用 vTPM 時,必須使用外部金鑰供應商加密 VM 檔案。VMDK 加密為選用功能,預設為停用。
- 外部金鑰供應商提供的加密金鑰會加密 VM 檔案 (如果已啟用加密功能,也會加密 VMDK)。這個金鑰與儲存在 vTPM 裝置中的種子,或應用程式使用該種子產生的金鑰不同。
- 您必須在 vCenter 中將外部金鑰供應商設為預設金鑰供應商。
- 使用 vTPM 裝置重新加密 VM 時,系統會使用外部金鑰供應商提供的新加密金鑰,重新加密 VM 檔案 (以及 VMDK,如果您已啟用加密功能)。這項作業不會影響儲存在 vTPM 裝置中的種子或密碼。
加密虛擬機器的需求條件
您可以透過預設Google-owned and managed key 供應商或 Cloud Key Management Service,管理 VM 的加密金鑰。
如果您為私有雲中的任何 VM 啟用 VM 加密 (或 vTPM),並使用 KMS 管理加密金鑰,則在輪替 KMS 金鑰後,必須重新加密 (淺層重新產生金鑰) 每個 VM。
淺層換鎖只會替換金鑰加密金鑰 (KEK),不會變更 VM 的資料加密金鑰 (DEK)。您通常會在 vSphere Client 中使用「重新加密」動作,觸發淺層換鎖。
在這項作業期間,系統會使用新的 KEK 重新包裝 (重新加密) 現有 DEK。這個程序速度很快,因為不會重寫磁碟上的實際資料,只會更新包含加密 DEK 的小型金鑰套件。詳情請參閱下列 VMware 說明文件:
無法重新設定加密 VM 金鑰的風險
如果您在刪除輪替 (舊) KMS 金鑰版本前,未重新設定加密 VM 的金鑰,可能會導致下列問題:
- vMotion 失敗:如果您在 KMS 金鑰輪替後,但在執行 VM 換鎖前,重新啟動目的地主機或將目的地主機新增至叢集,ESXi 主機就無法在 vMotion 期間解密 VM DEK。
- 無法啟動:如果主機重新啟動或清除本機金鑰快取,就無法從 KMS 重新取得金鑰。如果您從 KMS 刪除必要金鑰,主機就無法解密 DEK,導致加密 VM 無法啟動。
對工作負載 VM 執行換鎖作業的步驟
- 在 vSphere Client 中,以滑鼠右鍵按一下 VM。
- 依序選取「VM Policies」>「Re-encrypt」。
- 在隨即顯示的對話方塊中,確認重新加密要求。
- 等待工作完成。
- 將 VM 遷移至您重新啟動或新增至叢集的主機,確認換鎖是否成功。