一、背景概述
众所周知,微软退出win11后强制要求开启TPM2.0。因此想在vSphere部署Win11就必须给虚拟机增加可信平台模块。然而,vSphere默认无法直接给虚拟机添加可信平台模块。
通过查询VMware官方文档得知,必须先创建“密钥提供程序”,然后才能添加vTPM。
创建“密钥提供程序“,必须有外部密钥服务器(KMS)。
百度搜索KMS发现全部都是WindowsKMS的帖子,没有任何外部密钥服务器的相关线索。最终通过搜索KMS开源项目找到了线索。
最终选用开源的PyKMIP项目,做为KMS服务器。
二、PyKMIP部署PyKMIP官方文档:
https://pykmip.readthedocs.io/en/latest/installation.html
1、安装epel源:
# yum -y install epel-release
2、安装依赖包:
# yum -y install python3 python3-pip libffi git
3、下载并安装PyKMIP:
# git clone https://github.com/openkmip/pykmip.git # python3 pykmip/setup.py install
4、修改配置文件:
# cp pykmip/example/server.conf /etc/pykmip/server.conf # vim /etc/pykmip/server.conf [server] hostname=192.168.1.101 port=5696 certificate_path=/etc/pykmip/certs/server_certificate.pem key_path=/etc/pykmip/certs/server_key.pem ca_path=/etc/pykmip/certs/root_certificate.pem auth_suite=TLS1.2 policy_path=/etc/pykmip/policies database_path=/etc/pykmip/pykmip.db enable_tls_client_auth=true tls_cipher_suites= TLS_ECDH_ECDSA_WITH_AES_128_CBC_SHA256 AES128-SHA256 TLS_RSA_WITH_AES_256_CBC_SHA256 AES256-SHA256 logging_level=DEBUG
5、上传证书至/etc/pykmip/certs/
6、启动pykmip服务
# pykmip-server
此时pykmip服务进入监听状态三、vSphere对接KMS
VMware官网文档:
https://docs.vmware.com/cn/VMware-vSphere/6.7/com.vmware.vsphere.virtualsan.doc/GUID-AC06B3C3-901F-402E-B25F-1EE7809D1264.html
1、浏览清单列表,然后选择 vCenter Server 实例,依次单击配置和密钥管理服务器。
2、配置kms地址+端口,名称随便输入。
3、信任KMS,并通过上传KMS证书信任vcenter。
4、此时即可在虚拟机编辑添加可信平台模块。
建议只添加可信平台模块,不对虚拟机磁盘加密。
避免因PyKmip不稳定导致数据丢失
原文传送门
欢迎分享,转载请注明来源:内存溢出
评论列表(0条)