登录 / 注册
AI工具

如何使用TPM安全启动VMware ESXi

概述:在当今的信息技术领域,确保系统的安全性至关重要。VMware ESXi 作为一款强大的虚拟化平台,其安全性更是备受关注。TPM (Trusted Platform Module,可信平台模块)是一种安全芯片,它可以存储加密密钥、密码和数字证书等敏感信息。TPM还可以提供硬件级别的安全启动(Secure Boot)功能,其基于UEFI固件的安全标准确保系统在启动过程中只加载经过加密签名和验证的可信软件。它通过防止未经授权的驱动程序、内核或应用程序启动,有效抵御恶意软件和篡改攻击,确保系统的完整性和安全性。本文以Dell PowerEdge R550安装VMware ESXi8.0 为例,介绍如何使用TPM安全启动ESXi。

前提条件:确保服务器已经安装了兼容的TPM且ESXi的版本是6.7或更高

配置步骤:
第1步,确认服务器的引导模式为UEFI


第2步,启用TPM安全


第3步,配置TPM的加密算法为SHA256


第4步,启用Intel可信执行技术 (TXT) 


第5步,启用安全启动(Secure Boot)


第6步,安装ESXi操作系统,具体步骤参考:《如何在服务器上安装VMware ESXi


第7步,安装完毕后,正常引导进入ESXi



第8步,备份安全启动的恢复密钥
(1) 访问ESXi的命令行,具体步骤参考:《如何开启VMware ESXi的SSH和Shell服务
(2) 运行如下命令查看ESXi安全启动的运行状态
[root@localhost:~] esxcli system settings encryption get
Mode: TPM
Require Executables Only From Installed VIBs: false
   Require Secure Boot: true
(3)运行如下命令查看安全启动的恢复密钥(Recovery Key)(强烈建议手动将恢复密钥保存到安全的地方)
[root@localhost:~] esxcli system settings encryption recovery list
Recovery ID Key
————————————– —
{B7A9CF47-BEC9-46E8-B891-E7BF336C1A7F} 697983-303920-212247-101159-049724-088148-668025-284599-379662-100769-376562-434500-278125-149668-388743-505003
[root@localhost:~]


第9步,备份BIOS的设置
如果是戴尔PowerEdge服务器可以借助Easy Restore功能实现更换主板前后BIOS的设置是一致的。
Easy Restore 功能允许您在更换系统主板后还原系统的服务编号、许可证、UEFI 配置和系统配置数据(BIOS、iDRAC和NIC)。所有数据将自动备份到备份闪存设备中。如果 BIOS 检测到新的系统主板和备份闪存设备中的服务编号,BIOS 会提示用户恢复备份信息。
https://www.dell.com/support/kbdoc/zh-cn/000142633/
注意:
(1)开启了安全加密启动的ESXi,如需更换服务器主板或TPM等硬件,需要在更换完后确保BIOS设置和更换前一致,且在引导ESXi的过程需要按shift+o中输入备份的恢复密钥(Recovery Key)


encryptionRecoveryKey=xxxxxx-xxxxxx-xxxxxx-xxxxxx-xxxxxx-xxxxxx-xxxxxx-xxxxxx-xxxxxx-xxxxxx-xxxxxx-xxxxxx-xxxxxx-xxxxxx-xxxxxx-xxxxxx


如果出现:BIOS设置不一致(例如,未启用TPM)、未输入恢复密钥或者输入错误的恢复密钥等情况,ESXi将无法正常引导并伴随如下紫屏报错
The system has found a problem on your machine and cannot continue.
Unable to restore the system configuration. A security violation was detected. https://via.wmw.com/security-violation


(2)如果忘记或者未备份恢复密钥,那么只能重装ESXi系统。
(3)VMware ESXi 7.0U2以及更高的版本一旦开启TPM加密后就不支持不支持关闭,详见VMware官方手册说明:
如果在安装或升级到 vSphere 7.0 Update 2 或更高版本时未激活 TPM,则可以稍后使用以下命令进行激活。激活 TPM 后,您将无法撤消该设置。
https://docs.vmware.com/cn/VMware-vSphere/7.0/com.vmware.vsphere.security.doc/GUID-82C6B841-8B38-4D7D-8EFA-83AB1605F59D.html

原文链接:如何使用TPM安全启动VMware ESXi

https://www.aliyun.com/daily-act/ecs/activity_selection?userCode=h3kw1ira
【阿里云】2核2G云服务器新老同享99元/年
https://cloud.tencent.com/act/cps/redirect?redirect=6150&cps_key=9fcdfc2c29dcb52d7c5a549918ec0fef&from=console
https://vexpert.vmware.com/directory/12088/vexpert-badge-year.png

图书推介 - 京东自营

Kubernetes权威指南:从Docker到Kubernetes实践全接触(第6版)
VMware vSphere 虚拟化与企业运维从基础到实战
鸟哥的Linux私房菜 基础学习篇 第四版 Linux教程
打通Linux操作系统和芯片开发
玩转虚拟机——基于VMware+Windows(第二版)(名师手把手系列)

24小时热门

还有更多VMware问题?

免费试下我们的VMware技术助理(已接Deepseek)!即时解答VM难题 → 🤖VM技术助理


########

扫码加入VM资源共享交流微信群(请备注加群

https://cloud.tencent.com/act/cps/redirect?redirect=5990&cps_key=9fcdfc2c29dcb52d7c5a549918ec0fef&from=console

需要协助?或者只是想技术交流一下,直接联系我们!

联系我们

推荐更多

如何在博通网站查询VMware产品之间的兼容性
VMware快速入门

如何在博通网站查询VMware产品之间的兼容性

本文介绍了如何在博通(Broadcom)官网上查询 VMware 产品之间的兼容性,以 vCenter Server 与 ESXi 为例,演示了具体的操作步骤。通过使用 VMware Compatibility Matrix 工具,用户可以快速确认不同版本产品之间是否兼容,避免升级或部署时出现问题。该方法适用于虚拟化平台维护人员或计划升级 VMware 环境的用户。

reallybear 2025-05-27
VMware Workstation:桥接模式、NAT模式、仅主机模式有什么区别?
VMware快速入门

VMware Workstation:桥接模式、NAT模式、仅主机模式有什么区别?

本文详细介绍了 VMware Workstation 中五种网络模式:桥接模式、NAT 模式、仅主机模式、自定义网络和 LAN 区段,讲解了它们的原理与区别。桥接模式下虚拟机与宿主机平等接入物理网络,NAT 模式则通过宿主机进行地址转换,仅主机模式仅限虚拟机与宿主机互通。自定义网络可灵活指定 VMnet 接口,而 LAN 区段则适合多虚拟机隔离测试。结合各模式特点与应用场景,帮助你快速选择最合适的网络配置。

reallybear 2025-05-19
VMware Workstation:如何解决打开虚拟机出现“此平台不支持虚拟化的Intel VT-x/EPT”的报错问题
疑难杂症

VMware Workstation:如何解决打开虚拟机出现“此平台不支持虚拟化的Intel VT-x/EPT”的报错问题

本文介绍了在 Windows 11 上使用 VMware Workstation 时,遇到“此平台不支持虚拟化的 Intel VT‑x/EPT”报错的成因与解决方案。通过运行 msinfo32.exe 确认 VBS(基于虚拟化的安全)状态后,利用一键 BAT 脚本或 dism /Online /Disable-Feature 命令批量禁用 Hyper‑V、Virtual Machine Platform 等安全功能,并结合 SecConfig.efi 调试工具,在 BIOS 中正确开启 Intel VT‑x、VT‑d 与 Memory Integrity 选项。重启后即能彻底关闭 VBS,恢复 Nested VT‑x/EPT 功能,从而成功启动嵌套虚拟机。此方法同样适用于嵌套 ESXi、GNS3 实验环境,全面优化 Windows 11 虚拟化性能和兼容性。

reallybear 2025-05-15
怎么分析ESXi主机日志vm-support?| VMware日志解读分析全攻略
疑难杂症

怎么分析ESXi主机日志vm-support?| VMware日志解读分析全攻略

本文介绍了如何获取并逐层解压 ESXi 主机的 vm‑support 日志包,重点关注 /commands 和 /var/run/log 等关键目录,以便提取 vmkernel.log、hostd.log 等核心日志文件。文章从虚拟机、主机、网络和存储四个维度,详细说明了日志路径、常见关键字及排查思路,如通过 vmware.log 定位 VM 重启原因、通过 NIC 信息及 vobd.log 分析网络链路问题、通过 SCSI 日志及 multipath 配置诊断存储故障。每一部分均给出对应的命令输出文件和日志搜索关键词,帮助运维人员快速定位各类故障。读者可依此流程,高效完成 ESXi 日志的故障排查与诊断。

贾克斯 2025-05-14

©2022-2025 | 关于我们联系我们加入我们隐私政策粤ICP备2023009824号-2 | All Rights Reserved.

//madurird.com/4/9119499