Scénář: Nasazení strážených hostitelů a stíněných virtuálních počítačů ve VMM
Důležité
Tato verze nástroje Virtual Machine Manager (VMM) dosáhla konce podpory. Doporučujeme upgradovat na VMM 2022.
Tento článek obsahuje přehled nasazení strážených hostitelů Hyper-V a chráněných virtuálních počítačů ve výpočetních prostředcích infrastruktury nástroje System Center – Virtual Machine Manager (VMM).
Strážené prostředky infrastruktury poskytují dodatečnou ochranu virtuálních počítačů a brání manipulacím a krádežím způsobeným falešnými správci a malwarem. Jako poskytovatel cloudových služeb nebo správce privátního cloudu můžete nasadit strážené prostředky infrastruktury, jejichž součástí obvykle bývá server se službou Strážce hostitele (HGS), aspoň jeden strážený hostitelský server Hyper-V a aspoň jeden stíněný virtuální počítač spuštěný na těchto hostitelích. Přečtěte si další informace o strážených prostředcích infrastruktury.
Proč je třeba chránit virtuální počítače?
Virtuální počítače obsahují citlivá data a konfiguraci, u kterých vlastník virtuálního počítače nemusí chtít, aby se zobrazovaly správci prostředků infrastruktury. Vzhledem k tomu, že se veškerá tato data virtuálních počítačů ukládají do souborů, může je malware nebo falešný správce snadno zkopírovat a prozkoumat.
Chráněné virtuální počítače ve Windows Serveru pomáhají takovým útokům předcházet tím, že před spuštěním virtuálního počítače důkladně ověřují stav hostitele Hyper-V, zajišťují, aby se virtuální počítač mohl spouštět jenom v datacentrech autorizovaných vlastníkem virtuálního počítače, a umožňují hostovanému operačnímu systému šifrovat vlastní data pomocí nového virtuálního čipu TPM. Vlastník virtuálního počítače si může při vytváření virtuálního počítače citlivého na zabezpečení vybrat z následujících dvou typů ochrany:
- Podporované šifrování: Ideální pro scénáře privátního podnikového cloudu, kde je šifrování neaktivních uložených a přenášených dat nezbytné, ale správci prostředků infrastruktury jsou stále důvěryhodní. Správci prostředků infrastruktury mají nadále k dispozici konzolu virtuálního počítače a další usnadnění pro správu.
- Stínění: Nejbezpečnější možnost nasazení – stínění – brání správcům prostředků infrastruktury v připojení ke konzole virtuálního počítače nebo úpravách aspektů zabezpečení konfigurace virtuálního počítače. Vlastníci virtuálního počítače můžou přistupovat k virtuálnímu počítači jenom prostřednictvím nástrojů pro vzdálenou správu, které se rozhodli povolit. Tato možnost se doporučuje pro tenanty s citlivými úlohami spuštěnými ve veřejné nebo sdílené infrastruktuře.
Správa strážených prostředků infrastruktury pomocí nástroje VMM
Základní strážená infrastruktura prostředků infrastruktury (skládající se z jednoho nebo několika strážených hostitelů Hyper-V, služby Strážce hostitele a artefaktů potřebných k vytváření chráněných virtuálních počítačů) je součástí Windows Server 2016 a novějších a musí být nakonfigurovaná podle dokumentace ke stráženým prostředkům infrastruktury. Po nastavení můžete volitelně použít System Center – Virtual Machine Manager a zjednodušit tak správu strážených prostředků infrastruktury.
Základní strážená infrastruktura prostředků infrastruktury (skládající se z jednoho nebo několika strážených hostitelů Hyper-V, služby Strážce hostitele a artefaktů potřebných k vytvoření chráněných virtuálních počítačů) je součástí příslušné verze Windows Serveru a musí být nakonfigurovaná podle dokumentace ke stráženým prostředkům infrastruktury. Po nastavení můžete volitelně použít System Center – Virtual Machine Manager a zjednodušit tak správu strážených prostředků infrastruktury.
VMM se dá použít ke:
- Zřizování a správě strážených hostitelů v prostředcích infrastruktury VMM: Můžete přidávat strážené hostitele do prostředků infrastruktury VMM a spravovat je. Strážený hostitel je server Hyper-V, který:
- Splňuje požadavky strážených hostitelů.
- Je oprávněný službou Strážce hostitele pro prostředky infrastruktury ke spouštění stíněných virtuálních počítačů. Správce služby HGS určuje požadavky na hostitele tak, aby došlo k jejich úspěšnému ověření a mohli se stát stráženými.
- Je označený jako strážený ve VMM – je nakonfigurovaný tak, aby jako adresy URL pro službu HGS používal adresy URL specifikované v globálním nastavení VMM.
- Konfiguraci stíněného virtuálního pevného disku a volitelně šablony virtuálního počítače: Podepsané disky šablony (VHDX) používané k nasazení nových stíněných virtuálních počítačů se dají ukládat v knihovně VMM a můžou tak usnadnit nasazení. Potom můžete tento disk VHDX použít v šabloně virtuálního počítače.
- Zřizování a správě stíněných virtuálních počítačů: VMM podporuje celý životní cyklus stíněných virtuálních počítačů. Sem patří:
- Vytvoření nových stíněných virtuálních počítačů z podepsaného disku šablony (VHDX) a volitelně použití šablony virtuálního počítače
- Převod existujících virtuálních počítačů na stíněné virtuální počítače
Další kroky
Váš názor
https://aka.ms/ContentUserFeedback.
Připravujeme: V průběhu roku 2024 budeme postupně vyřazovat problémy z GitHub coby mechanismus zpětné vazby pro obsah a nahrazovat ho novým systémem zpětné vazby. Další informace naleznete v tématu:Odeslat a zobrazit názory pro