Share via

Scénář: Nasazení strážených hostitelů a stíněných virtuálních počítačů ve VMM

  • Článek

Důležité

Tato verze nástroje Virtual Machine Manager (VMM) dosáhla konce podpory. Doporučujeme upgradovat na VMM 2022.

Tento článek obsahuje přehled nasazení strážených hostitelů Hyper-V a chráněných virtuálních počítačů ve výpočetních prostředcích infrastruktury nástroje System Center – Virtual Machine Manager (VMM).

Strážené prostředky infrastruktury poskytují dodatečnou ochranu virtuálních počítačů a brání manipulacím a krádežím způsobeným falešnými správci a malwarem. Jako poskytovatel cloudových služeb nebo správce privátního cloudu můžete nasadit strážené prostředky infrastruktury, jejichž součástí obvykle bývá server se službou Strážce hostitele (HGS), aspoň jeden strážený hostitelský server Hyper-V a aspoň jeden stíněný virtuální počítač spuštěný na těchto hostitelích. Přečtěte si další informace o strážených prostředcích infrastruktury.

Proč je třeba chránit virtuální počítače?

Virtuální počítače obsahují citlivá data a konfiguraci, u kterých vlastník virtuálního počítače nemusí chtít, aby se zobrazovaly správci prostředků infrastruktury. Vzhledem k tomu, že se veškerá tato data virtuálních počítačů ukládají do souborů, může je malware nebo falešný správce snadno zkopírovat a prozkoumat.

Chráněné virtuální počítače ve Windows Serveru pomáhají takovým útokům předcházet tím, že před spuštěním virtuálního počítače důkladně ověřují stav hostitele Hyper-V, zajišťují, aby se virtuální počítač mohl spouštět jenom v datacentrech autorizovaných vlastníkem virtuálního počítače, a umožňují hostovanému operačnímu systému šifrovat vlastní data pomocí nového virtuálního čipu TPM. Vlastník virtuálního počítače si může při vytváření virtuálního počítače citlivého na zabezpečení vybrat z následujících dvou typů ochrany:

  • Podporované šifrování: Ideální pro scénáře privátního podnikového cloudu, kde je šifrování neaktivních uložených a přenášených dat nezbytné, ale správci prostředků infrastruktury jsou stále důvěryhodní. Správci prostředků infrastruktury mají nadále k dispozici konzolu virtuálního počítače a další usnadnění pro správu.
  • Stínění: Nejbezpečnější možnost nasazení – stínění – brání správcům prostředků infrastruktury v připojení ke konzole virtuálního počítače nebo úpravách aspektů zabezpečení konfigurace virtuálního počítače. Vlastníci virtuálního počítače můžou přistupovat k virtuálnímu počítači jenom prostřednictvím nástrojů pro vzdálenou správu, které se rozhodli povolit. Tato možnost se doporučuje pro tenanty s citlivými úlohami spuštěnými ve veřejné nebo sdílené infrastruktuře.

Správa strážených prostředků infrastruktury pomocí nástroje VMM

Základní strážená infrastruktura prostředků infrastruktury (skládající se z jednoho nebo několika strážených hostitelů Hyper-V, služby Strážce hostitele a artefaktů potřebných k vytváření chráněných virtuálních počítačů) je součástí Windows Server 2016 a novějších a musí být nakonfigurovaná podle dokumentace ke stráženým prostředkům infrastruktury. Po nastavení můžete volitelně použít System Center – Virtual Machine Manager a zjednodušit tak správu strážených prostředků infrastruktury.

Základní strážená infrastruktura prostředků infrastruktury (skládající se z jednoho nebo několika strážených hostitelů Hyper-V, služby Strážce hostitele a artefaktů potřebných k vytvoření chráněných virtuálních počítačů) je součástí příslušné verze Windows Serveru a musí být nakonfigurovaná podle dokumentace ke stráženým prostředkům infrastruktury. Po nastavení můžete volitelně použít System Center – Virtual Machine Manager a zjednodušit tak správu strážených prostředků infrastruktury.

VMM se dá použít ke:

  • Zřizování a správě strážených hostitelů v prostředcích infrastruktury VMM: Můžete přidávat strážené hostitele do prostředků infrastruktury VMM a spravovat je. Strážený hostitel je server Hyper-V, který:
    • Splňuje požadavky strážených hostitelů.
    • Je oprávněný službou Strážce hostitele pro prostředky infrastruktury ke spouštění stíněných virtuálních počítačů. Správce služby HGS určuje požadavky na hostitele tak, aby došlo k jejich úspěšnému ověření a mohli se stát stráženými.
    • Je označený jako strážený ve VMM – je nakonfigurovaný tak, aby jako adresy URL pro službu HGS používal adresy URL specifikované v globálním nastavení VMM.
  • Konfiguraci stíněného virtuálního pevného disku a volitelně šablony virtuálního počítače: Podepsané disky šablony (VHDX) používané k nasazení nových stíněných virtuálních počítačů se dají ukládat v knihovně VMM a můžou tak usnadnit nasazení. Potom můžete tento disk VHDX použít v šabloně virtuálního počítače.
  • Zřizování a správě stíněných virtuálních počítačů: VMM podporuje celý životní cyklus stíněných virtuálních počítačů. Sem patří:
    • Vytvoření nových stíněných virtuálních počítačů z podepsaného disku šablony (VHDX) a volitelně použití šablony virtuálního počítače
    • Převod existujících virtuálních počítačů na stíněné virtuální počítače

Další kroky