一、背景概述
众所周知,微软退出win11后强制要求开启TPM2.0。因此想在vSphere部署Win11就必须给虚拟机增加可信平台模块。然而,vSphere默认无法直接给虚拟机添加可信平台模块。
通过查询VMware官方文档得知,必须先创建“密钥提供程序”,然后才能添加vTPM。
创建“密钥提供程序“,必须有外部密钥服务器(KMS)。
百度搜索KMS发现全部都是WindowsKMS的帖子,没有任何外部密钥服务器的相关线索。最终通过搜索KMS开源项目找到了线索。
最终选用开源的PyKMIP项目,做为KMS服务器。
二、PyKMIP部署PyKMIP官方文档:
https://pykmip.readthedocs.io/en/latest/installation.html
1、安装epel源:
# yum -y install epel-release
2、安装依赖包:
# yum -y install python3 python3-pip libffi git
3、下载并安装PyKMIP:
# git clone https://github.com/openkmip/pykmip.git # python3 pykmip/setup.py install
4、修改配置文件:
# cp pykmip/example/server.conf /etc/pykmip/server.conf
# vim /etc/pykmip/server.conf
[server]
hostname=192.168.1.101
port=5696
certificate_path=/etc/pykmip/certs/server_certificate.pem
key_path=/etc/pykmip/certs/server_key.pem
ca_path=/etc/pykmip/certs/root_certificate.pem
auth_suite=TLS1.2
policy_path=/etc/pykmip/policies
database_path=/etc/pykmip/pykmip.db
enable_tls_client_auth=true
tls_cipher_suites=
TLS_ECDH_ECDSA_WITH_AES_128_CBC_SHA256
AES128-SHA256
TLS_RSA_WITH_AES_256_CBC_SHA256
AES256-SHA256
logging_level=DEBUG
5、上传证书至/etc/pykmip/certs/
6、启动pykmip服务
# pykmip-server
此时pykmip服务进入监听状态三、vSphere对接KMS
VMware官网文档:
https://docs.vmware.com/cn/VMware-vSphere/6.7/com.vmware.vsphere.virtualsan.doc/GUID-AC06B3C3-901F-402E-B25F-1EE7809D1264.html
1、浏览清单列表,然后选择 vCenter Server 实例,依次单击配置和密钥管理服务器。
2、配置kms地址+端口,名称随便输入。
3、信任KMS,并通过上传KMS证书信任vcenter。
4、此时即可在虚拟机编辑添加可信平台模块。
建议只添加可信平台模块,不对虚拟机磁盘加密。
避免因PyKmip不稳定导致数据丢失
原文传送门
