vSphere8でvTPMを使いWindows11をインストールしてみた

どうも、Tです。

vSphere8環境にWindows11の仮想マシンを作成するひつようがあったため備忘録です。

環境

vSphere環境

  • VMware vCenter Server:8.0.1.00000(21560480)
  • VMware vSphere ESXi:8.0.1, 21495797

vSphere ESXiは物理サーバーにインストールしていますが、この物理サーバーにTPMは搭載されていません

ゲストOS

  • Windows11 Pro

やりたいこと

本記事の設定を行っていないvSphere環境でWindows 11の仮想マシンを作成しようとするとゲストOSの選択で下記が表示され、仮想マシンが作成できません。

Microsoft Windows 11 (64 ビット) には仮想 TPM デバイスが必要です。 vSphere 環境がキー プロバイダで構成されていないため、これはこの仮想マシンに追加できません。

これは、Windows 11のインストールにTMP2.0が必要なため、仮想マシンもTMPが必要ですが、デフォルトの状態ではvTPM(仮想TPM)が使用できないためです。

Windows 11 の仕様とシステム要件 | Microsoft
Windows 11 の仕様と機能の概要を Microsoft で確認してください。Windows 11 のデバイス仕様、バージョン、対応言語の詳細

vSphere7U2以降では、vSphere Native Key Providerを設定することにより、vTPMを使えるようになります。vTPMは物理サーバーにTPMが搭載されていなくとも使用可能です。

Windows 11 Support on vSphere | VMware
The goal of this article is to act as a single destination to guide you through the requirements needed to run Windows 11 virtual machines on vSphere.

Virtual TPM devices require vSphere to be configured with a Key Provider. This is a prerequisite requirement before you can create a new VM with a vTPM device or add a vTPM device to an existing VM. In vSphere 8 and vSphere 7 this can be a Native Key Provider or an external third party key provider. (Native Key Provider requires vSphere 7 U2 or later).

vSphere Native Key Providerの設定

Native Key Providerを設定します。

Native Key Providerは、全エディションで使用できます。本記事とは関係ありませんが、仮想マシン暗号化を行うには、Enterprise Plusが必要です。

https://docs.vmware.com/jp/VMware-vSphere/8.0/vsphere-security/GUID-54B9FBA2-FDB1-400B-A6AE-81BF3AC9DF97.html

vSphere Native Key Provider はすべての vSphere エディションに含まれており、外部キー サーバ(業界内の別名はキー管理サーバ (KMS))は不要です。vSphere 仮想マシンの暗号化に vSphere Native Key Provider を使用することもできますが、VMware vSphere® Enterprise Plus エディション™を購入する必要があります。

また未検証で通常問題になることはないともいますが、vCenterにFQDNで接続する必要があります。IP指定でインストールしたvCenterでは使えなさそうです。

vSphere Native Key Provider (NKP) Questions & Answers | VMware
A comprehensive list of frequently asked questions about vSphere Native Key Provider.

You must log into the vSphere Client using the FQDN of the vCenter Server, you must back the Native Key Provider instance up before it will let you use it, and you must set a default key provider.

「vCenterオブジェクト」->「構成」->「セキュリティ」->「キープロバイダ」画面の「追加」から「ネイティブキープロバイダの追加」をクリックします。

任意の名前を指定し、「キー プロバイダをTPM で保護されている ESXi ホストでのみ使用 (推奨)」のチェックを外した後、「キープロバイダの追加」をクリックします。

名前について

名前は任意の文字列になりますが、キープロバイダを複数作成する場合は一意になるように設定する必要があります。

https://docs.vmware.com/jp/VMware-vSphere/8.0/vsphere-security/GUID-E5E8A9BF-F736-48D9-9DD4-A37F6333C692.html#GUID-E5E8A9BF-F736-48D9-9DD4-A37F6333C692__SECTION_9EFF1C43-DFE3-4DEB-978F-5A1F9BE3AE4A

各論理キー プロバイダには、そのタイプ(標準、信頼済み、ネイティブの各キー プロバイダ)に関係なく、すべての vCenter Server システムで一意の名前が付いている必要があります。

キー プロバイダをTPM で保護されている ESXi ホストでのみ使用 (推奨)について

今回は物理TPMがないためチェックを外しています。物理TPMが存在する場合にチェックを入れておくと物理TPMを搭載したESXiホストでキープロバイダが使用できるようになります。

https://docs.vmware.com/jp/VMware-vSphere/8.0/vsphere-security/GUID-1C3B2BAC-A2D1-4F15-86AF-1E7DE9F850D8.html

有効にすると、vSphere Native Key Provider は、TPM 2.0 を備えたホストでのみ使用できるようになります。

キープロバイダを選択し「バックアップ」をクリックします。

必要に応じ、「ネイティブ キー プロバイダ データをパスワードで保護 (推奨)」のチェックをし「キープロバイダのバックアップ」をクリックします。

バックアップファイルがダウンロードされ、「ステータス」が「アクティブ」になっていることを確認します。バックアップファイルは、リストアする際に必要になるため保存しておきます。

キープロバイダをバックアップしていないとNative Key Providerが使えないので必ずバックアップ処理をおこなってください。vCenterのバックアップを取得している場合はキープロバイダも含まれますが、バックアップファイルはリストアの際につかえるよう保存しておきましょう。

https://docs.vmware.com/jp/VMware-vSphere/8.0/vsphere-security/GUID-E0EB371A-F6E4-463B-A1E9-9D4DDCAA039D.html

vSphere Native Key Provider は、vCenter Server ファイルベースのバックアップの一部としてバックアップされます。ただし、vSphere Native Key Provider を使用するには、少なくとも 1 回バックアップする必要があります。

Windows 11のインストール

通常の操作で仮想マシンを作成しWindows11をインストールしていきます。

Native Key Providerが使用できるようになっているため仮想マシン作成時にエラーが表示されなくなります。

作成した仮想マシンの設定を見ると仮想TPMが設定されています。

Windows11がインストールできます。

「ファイル名を指定して実行」から「tpm.msc」を実行すると下記画面が表示されます。

TPMの製造元が「VMW」でバージョンが2.0であることが確認できます。

参考

公式

Windows 11 Support on vSphere | VMware
The goal of this article is to act as a single destination to guide you through the requirements needed to run Windows 11 virtual machines on vSphere.
vSphere Native Key Provider (NKP) Questions & Answers | VMware
A comprehensive list of frequently asked questions about vSphere Native Key Provider.
https://docs.vmware.com/jp/VMware-vSphere/7.0/com.vmware.vsphere.security.doc/GUID-4DBF65A4-4BA0-4667-9725-AE9F047DE00A.html
https://docs.vmware.com/jp/VMware-vSphere/8.0/vsphere-security/GUID-2F18E7A0-707F-4739-A0B4-9A363F1C3213.html
vSphere Virtual TPM (vTPM) Questions & Answers | VMware
A comprehensive list of frequently asked questions about vSphere Virtual TPM (vTPM).

https://core.vmware.com/api/checkuseraccess?referer=/sites/default/files/associated-content/vSphere%20Native%20Key%20Provider%20(NKP)%20-%202023030101.pdf

ブログなど

[VMware vSphere]Native Key Provider を構成し、Windows11 をインストールする手順
vSphere 環境で Native Key Provider / vTPM を使用し、Winsows11 をインストール する手順について記載しています。

まとめ

Windows 11は要件が厳しく何かしようとすると新たな発見がありますね。かなり面倒です。