vSphere 6.7 U3部署win11

vSphere 6.7 U3部署win11,第1张

vSphere 6.7 U3部署win11

一、背景概述

 

众所周知,微软退出win11后强制要求开启TPM2.0。因此想在vSphere部署Win11就必须给虚拟机增加可信平台模块。然而,vSphere默认无法直接给虚拟机添加可信平台模块。

通过查询VMware官方文档得知,必须先创建“密钥提供程序”,然后才能添加vTPM。

创建“密钥提供程序“,必须有外部密钥服务器(KMS)。

百度搜索KMS发现全部都是WindowsKMS的帖子,没有任何外部密钥服务器的相关线索。最终通过搜索KMS开源项目找到了线索。

最终选用开源的PyKMIP项目,做为KMS服务器。

二、PyKMIP部署

PyKMIP官方文档:

https://pykmip.readthedocs.io/en/latest/installation.html

1、安装epel源:

# yum -y install epel-release

2、安装依赖包:

# yum -y install python3 python3-pip libffi git

3、下载并安装PyKMIP:

# git clone https://github.com/openkmip/pykmip.git
# python3 pykmip/setup.py install

4、修改配置文件:

# cp pykmip/example/server.conf /etc/pykmip/server.conf
# vim /etc/pykmip/server.conf
[server]
hostname=192.168.1.101
port=5696
certificate_path=/etc/pykmip/certs/server_certificate.pem
key_path=/etc/pykmip/certs/server_key.pem
ca_path=/etc/pykmip/certs/root_certificate.pem
auth_suite=TLS1.2
policy_path=/etc/pykmip/policies
database_path=/etc/pykmip/pykmip.db
enable_tls_client_auth=true
tls_cipher_suites=
    TLS_ECDH_ECDSA_WITH_AES_128_CBC_SHA256
    AES128-SHA256
    TLS_RSA_WITH_AES_256_CBC_SHA256
    AES256-SHA256
logging_level=DEBUG

5、上传证书至/etc/pykmip/certs/

6、启动pykmip服务

# pykmip-server
此时pykmip服务进入监听状态
三、vSphere对接KMS

VMware官网文档:

https://docs.vmware.com/cn/VMware-vSphere/6.7/com.vmware.vsphere.virtualsan.doc/GUID-AC06B3C3-901F-402E-B25F-1EE7809D1264.html

1、浏览清单列表,然后选择 vCenter Server 实例,依次单击配置和密钥管理服务器。

2、配置kms地址+端口,名称随便输入。

3、信任KMS,并通过上传KMS证书信任vcenter。

4、此时即可在虚拟机编辑添加可信平台模块。

建议只添加可信平台模块,不对虚拟机磁盘加密。

避免因PyKmip不稳定导致数据丢失

原文传送门

欢迎分享,转载请注明来源:内存溢出

原文地址: http://outofmemory.cn/zaji/5720136.html

(0)
打赏 微信扫一扫 微信扫一扫 支付宝扫一扫 支付宝扫一扫
上一篇 2022-12-17
下一篇 2022-12-18

发表评论

登录后才能评论

评论列表(0条)