メインコンテンツまでスキップ
新しい会話を開始

Solved!

ソリューションへ移動

ytarakida

1 Rookie

 • 

279 メッセージ

1169

2018年5月7日 18:00

VxRail TPM搭載ノードと非搭載ノードのクラスタ内混在について

いつもお世話になっております。

掲題の件、具体的には既存G410(TPMオプションがそもそもない)とE560(TPMオプション有り)

をクラスタ内混在したいとの要望があります。

TPMは既存機では利用していないので、E560もTPMオプション無しで購入を推奨をしているのですが

TPMは後付け出来ないので将来的に利用することを踏まえ搭載もしておきたいとのご要望があります。

そこでE560側にはTPMオプション有で購入し、機能的にOFFとして利用したいとのことなのですが

BIOS設定はTPMオプション有りにするとTPMは有効にて出荷されますでしょうか。

こちらが有効の場合、無効にすることは特に問題ないでしょうか?

※BIOS変更になる認識なので念のため。


また、TPMオンとTPMオフのESXiが混在する環境の場合、

VMがうまくvMotionできない等の弊害が伴ったりする事はありますでしょうか。

※VxRail固有のお話ではありませんが、ご経験ある方いらっしゃれば。。。

どうぞよろしくお願い致します。

ayas

Moderator

 • 

6.5K メッセージ

2018年5月8日 18:00

ytarakidaさん

TPM Security optionはデフォルトでオフ、です。またオンにする場合もおっしゃる通りBIOS起動時にしかできないとあり、注意点等は

特に記載がありません。念のためプリセールスチームにも確認しましたがEシリーズとGシリーズの混在は問題なしなので

将来的にTPMを使う、という前提での購入はありうる、ということです。

参考資料:

https://support.emc.com/docu81330_VxRail-P-Series-and-V-Series-Appliance-Owner's-Manual.pdf?language=en_US

Page 35 から

Enables you to control the reporting mode of the TPM. The TPM Security option is set to Off by default. You can only modify the TPM Status, TPM Activation, and Intel TXT fields if the TPM Status field is set to either On with Pre-boot Measurements or On without Pre-boot Measurements.

ただ、TPM機能をオン、オフ混在環境でのVMへの影響といった事象や情報はVxRailサイドでは私が探した限りではありませんでしたのでちょっと不明です・・・・

ytarakida

1 Rookie

 • 

279 メッセージ

2018年5月9日 18:00

ayas さん

こちら回答ありがとうございます。

TPMはデフォルトでOFFとの事で承知しました。

ちなみにBIOSは基本インプリ可能なパートナーのみにパスワードが公開されている

認識だったのですが、お客様やパートナーで変更したいという場合は問題ないでしょうか?

※パスワードの公開レベルを知りたく。

TPM機能をオン、オフ混在環境でのVMへの影響につきましては弊社の有識者にも確認してみます。

kwmt

4 Operator

 • 

877 メッセージ

2018年5月9日 20:00

横から失礼します。

PowerEdgeモデルですが、BIOSのデフォルトパスワードは設定されておりません。

※これが設定されているとiDRACの設定も不自由なので...

TPM自体はESXiのロード時の正当性を保証するためのものなので、起動後のホストでTPM有効のものと無効の混在でその上で動くVMに関してはvMotionなどは通常通り可能です。

この辺りはvSphereのセキュリティ関連のTech Bookや、Vmware Blogでいくつか記事が出ております。

vSphere 6.5 TPM

https://blogs.vmware.com/vsphere/2017/05/secure-boot-esxi-6-5-hypervisor-assurance.html

vSphere 6.7 TPM

https://blogs.vmware.com/vsphere/2018/04/vsphere-6-7-esxi-tpm-2-0.html#

こちらの記事はTPM1.2と2.0の混在間での話ですが、AttestationでfailとなっていてもvMotionして動くとのレポートも上がっていました。

----

Some will ask questions such as “But will this mean that VM’s won’t run on/vMotion to a host that has failed attestation?”.

The answer is that VM’s will continue to run on host that has failed attestation.

ytarakida

1 Rookie

 • 

279 メッセージ

2018年5月10日 17:00

kawaman さん

ご回答ありがとうございます!

PowerEdgeモデルはBIOSパスワードかかっていないとは知らず失礼しました。

※以前のモデルと同様かと思っていました。


TPM関連のリンクもありがとうございます。

社内でも明確な答えが出ていなかったのですが、内容確認させて頂きます。

もっと見る

すべて表示

イベントは見つかりませんでした!

Top