どうも、Tです。
vSphere8環境にWindows11の仮想マシンを作成するひつようがあったため備忘録です。
目次
環境
vSphere環境
- VMware vCenter Server:8.0.1.00000(21560480)
- VMware vSphere ESXi:8.0.1, 21495797
vSphere ESXiは物理サーバーにインストールしていますが、この物理サーバーにTPMは搭載されていません。
ゲストOS
- Windows11 Pro
やりたいこと
本記事の設定を行っていないvSphere環境でWindows 11の仮想マシンを作成しようとするとゲストOSの選択で下記が表示され、仮想マシンが作成できません。
Microsoft Windows 11 (64 ビット) には仮想 TPM デバイスが必要です。 vSphere 環境がキー プロバイダで構成されていないため、これはこの仮想マシンに追加できません。
これは、Windows 11のインストールにTMP2.0が必要なため、仮想マシンもTMPが必要ですが、デフォルトの状態ではvTPM(仮想TPM)が使用できないためです。
vSphere7U2以降では、vSphere Native Key Providerを設定することにより、vTPMを使えるようになります。vTPMは物理サーバーにTPMが搭載されていなくとも使用可能です。
Virtual TPM devices require vSphere to be configured with a Key Provider. This is a prerequisite requirement before you can create a new VM with a vTPM device or add a vTPM device to an existing VM. In vSphere 8 and vSphere 7 this can be a Native Key Provider or an external third party key provider. (Native Key Provider requires vSphere 7 U2 or later).
vSphere Native Key Providerの設定
Native Key Providerを設定します。
Native Key Providerは、全エディションで使用できます。本記事とは関係ありませんが、仮想マシン暗号化を行うには、Enterprise Plusが必要です。
vSphere Native Key Provider はすべての vSphere エディションに含まれており、外部キー サーバ(業界内の別名はキー管理サーバ (KMS))は不要です。vSphere 仮想マシンの暗号化に vSphere Native Key Provider を使用することもできますが、VMware vSphere® Enterprise Plus エディション™を購入する必要があります。
また未検証で通常問題になることはないともいますが、vCenterにFQDNで接続する必要があります。IP指定でインストールしたvCenterでは使えなさそうです。
You must log into the vSphere Client using the FQDN of the vCenter Server, you must back the Native Key Provider instance up before it will let you use it, and you must set a default key provider.
「vCenterオブジェクト」->「構成」->「セキュリティ」->「キープロバイダ」画面の「追加」から「ネイティブキープロバイダの追加」をクリックします。
任意の名前を指定し、「キー プロバイダをTPM で保護されている ESXi ホストでのみ使用 (推奨)」のチェックを外した後、「キープロバイダの追加」をクリックします。
名前について
名前は任意の文字列になりますが、キープロバイダを複数作成する場合は一意になるように設定する必要があります。
各論理キー プロバイダには、そのタイプ(標準、信頼済み、ネイティブの各キー プロバイダ)に関係なく、すべての vCenter Server システムで一意の名前が付いている必要があります。
キー プロバイダをTPM で保護されている ESXi ホストでのみ使用 (推奨)について
今回は物理TPMがないためチェックを外しています。物理TPMが存在する場合にチェックを入れておくと物理TPMを搭載したESXiホストでキープロバイダが使用できるようになります。
有効にすると、vSphere Native Key Provider は、TPM 2.0 を備えたホストでのみ使用できるようになります。
キープロバイダを選択し「バックアップ」をクリックします。
必要に応じ、「ネイティブ キー プロバイダ データをパスワードで保護 (推奨)」のチェックをし「キープロバイダのバックアップ」をクリックします。
バックアップファイルがダウンロードされ、「ステータス」が「アクティブ」になっていることを確認します。バックアップファイルは、リストアする際に必要になるため保存しておきます。
キープロバイダをバックアップしていないとNative Key Providerが使えないので必ずバックアップ処理をおこなってください。vCenterのバックアップを取得している場合はキープロバイダも含まれますが、バックアップファイルはリストアの際につかえるよう保存しておきましょう。
vSphere Native Key Provider は、vCenter Server ファイルベースのバックアップの一部としてバックアップされます。ただし、vSphere Native Key Provider を使用するには、少なくとも 1 回バックアップする必要があります。
Windows 11のインストール
通常の操作で仮想マシンを作成しWindows11をインストールしていきます。
Native Key Providerが使用できるようになっているため仮想マシン作成時にエラーが表示されなくなります。
作成した仮想マシンの設定を見ると仮想TPMが設定されています。
Windows11がインストールできます。
「ファイル名を指定して実行」から「tpm.msc」を実行すると下記画面が表示されます。
TPMの製造元が「VMW」でバージョンが2.0であることが確認できます。
参考
公式
ブログなど
まとめ
Windows 11は要件が厳しく何かしようとすると新たな発見がありますね。かなり面倒です。