Zřizování strážených hostitelů ve VMM

Důležité

Tato verze nástroje Virtual Machine Manager (VMM) dosáhla konce podpory. Doporučujeme upgradovat na VMM 2022.

Tento článek popisuje, jak nasadit strážené hostitele Hyper-V ve výpočetních prostředcích infrastruktury nástroje System Center – Virtual Machine Manager (VMM). Další informace o strážených prostředcích infrastruktury

Máte několik možností, jak strážené hostitele Hyper-V v prostředcích infrastruktury VMM nastavit.

• Nakonfigurování existujícího hostitele jako stráženého hostitele: Existujícího hostitele můžete nakonfigurovat tak, aby na něm běžely stíněné virtuální počítače.
• Přidat nebo zřídit nového stráženého hostitele: Tímto hostitelem může být:
  • Existující počítač s Windows Serverem (s rolí Hyper-V nebo bez ní)
  • Holý počítač

Strážené hostitele můžete v prostředcích infrastruktury WMM nastavit takto:

1. Nakonfigurujte globální nastavení HGS: VMM připojí všechny strážené hostitele ke stejnému serveru HGS, abyste mohli úspěšně migrovat stíněné virtuální počítače mezi hostiteli. Zadáte globální nastavení služby HGS, která platí pro všechny strážené hostitele, a můžete zadat nastavení specifická pro hostitele, která přepíší globální nastavení. Nastavení zahrnuje:

   • URL serveru ověření identity: Adresa URL, kterou hostitel používá pro připojení ke službě HGS pro ověření identity. Tato služba opravňuje hostitele ke spouštění stíněných virtuálních počítačů.
   • URL serveru ochrany klíčů: Adresa URL, kterou hostitel používá k načtení klíče nezbytného k dešifrování virtuálních počítačů. Aby hostitel mohl získat klíče, musí úspěšně projít ověřením identity.
   • Zásady integrity kódu: Zásady integrity kódu omezují software, který může běžet na stráženém hostiteli. Pokud je služba HGS nakonfigurovaná na použití ověření identity čipem TPM, musí být strážení hostitelé nakonfigurovaní na použití zásad integrity kódu autorizovaných serverem HGS. Umístění zásad integrity kódu můžete určit ve VMM a můžete je nasadit na své hostitele. Tato možnost je volitelná a ke správě strážených prostředků infrastruktury se nevyžaduje.
   • Pomocný virtuální pevný disk pro stínění virtuálních počítačů: Speciálně připravený virtuální pevný disk, který se používá k převodu stávajících virtuálních počítačů na stíněné virtuální počítače. Toto nastavení musíte nakonfigurovat, pokud chcete stávající virtuální počítače chránit.

2. Nakonfigurujte cloud: Pokud bude strážený hostitel začleněný do cloudu VMM, musíte cloud nakonfigurovat tak, aby podporoval stíněné virtuální počítače.

Než začnete

Než budete pokračovat, ujistěte se, že jste službu Strážce hostitele nasadili a nakonfigurovali. Další informace o konfiguraci služby HGS najdete v dokumentaci k Windows Serveru.

Dále se ujistěte, že všichni hostitelé, kteří se stanou stráženými hostiteli, splňují požadavky na strážené hostitele:

• Operační systém: Na hostitelských serverech musí běžet Windows Server Datacenter. Pro strážené hostitele se doporučuje používat jádro serveru.
• Role a funkce: Na hostitelských serverech musí být spuštěná role Hyper-V a funkce Podpora technologie Hyper-V služby ochrany hostitele (služby Strážce hostitele). Tato funkce umožňuje hostiteli komunikovat se službou HGS kvůli ověření stavu a vyžádání klíčů pro stíněné virtuální počítače. Pokud na vašem hostiteli běží Nano Server, měl by mít nainstalované balíčky Compute, SCVMM-Package, SCVMM-Compute, SecureStartup a ShieldedVM.
• Ověření identity čipem TPM: Pokud je služba HGS nakonfigurovaná na použití ověření identity čipem TPM, musí hostitelské servery:
  • Používat rozhraní UEFI 2.3.1c a čip TPM 2.0
  • Spouštět se v režimu UEFI (nikoli v režimu systému BIOS ani v režimu starší verze)
  • Povolovat zabezpečené spouštění
• Registrace ve službě HGS: Hostitelé Hyper-V musejí být zaregistrovaní ve službě HGS. Způsob registrace závisí na tom, jestli služba HGS používá ověření identity AD nebo TPM. Další informace
• Migrace za provozu: Pokud chcete stíněné virtuální počítače migrovat za provozu, musíte nasadit nejméně dva strážené hostitele.
• Doména: Strážní hostitelé a server VMM musí být ve stejné doméně nebo v doménách s obousměrným vztahem důvěryhodnosti.

Konfigurace globálního nastavení služby HGS

Před přidáním strážených hostitelů do výpočetních prostředků infrastruktury VMM musíte v nástroji VMM nakonfigurovat informace o službě Strážce hostitele (HGS) pro prostředky infrastruktury. Stejná služba HGS se použije pro všechny strážené hostitele spravované VMM.

1. Adresy URL ochrany klíčů a ověření identity pro vaše prostředky infrastruktury vám poskytne správce služby HGS.

2. V konzole VMM vyberte Nastavení Nastavení>služby Strážce hostitele.

3. Do příslušných polí zadejte adresy URL ochrany klíčů a ověření identity. V tuto chvíli nemusíte konfigurovat oddíly zásad integrity kódu a pomocného virtuálního pevného disku pro stínění virtuálních počítačů.
   
   

4. Vyberte Dokončit a uložte konfiguraci.

Přidání nebo zřízení nového stráženého hostitele

1. Přidání hostitele:
   • Pokud chcete přidat existující server se systémem Windows Server jako stráženého hostitele Hyper-V, přidejte ho do prostředků infrastruktury.
   • Pokud chcete zřídit hostitele Hyper-V z holého počítače, postupujte podle těchto pokynů.

     Poznámka

     Hostitele můžete nasadit jako chráněného, když ho zřídíte (Nastavení >operačníhosystému Průvodce > přidáním prostředkůNakonfigurujte jako strážený hostitel).

2. Pokračujte k další části a nakonfigurujte hostitele jako stráženého hostitele.

Konfigurace existujícího hostitele na stráženého hostitele

Pokud chcete nakonfigurovat existujícího hostitele Hyper-V spravovaného VMM tak, aby se stal stráženým hostitelem, proveďte následující kroky:

1. Uveďte hostitele do režimu údržby.

2. V části Všichni hostitelé klikněte pravým tlačítkem naslužbu Strážce hostitelevlastnosti> hostitele>.

   

3. Vyberte možnost povolení funkce podpory technologie Hyper-V pro ochranu hostitelů a hostitele nakonfigurujte.

   Poznámka

   • Na hostiteli se nastaví globální adresa URL serveru ověření identity a globální adresa URL serveru ochrany klíčů.
   • Pokud tyto adresy URL změníte mimo konzolu VMM, budete je muset ve VMM aktualizovat také. Pokud to neuděláte, nástroj VMM neumisťuje stíněné virtuální počítače na hostitele, dokud se adresy URL znovu neshodují. Můžete také zrušit zaškrtnutí a znovu zaškrtnout políčko Povolit a překonfigurovat hostitele pomocí adres URL nakonfigurovaných v nástroji VMM.

4. Pokud používáte VMM ke správě zásad integrity kódu, můžete zaškrtnout druhé políčko a vybrat příslušnou zásadu systému.

5. Výběrem OK aktualizujte konfiguraci hostitele.

6. Ukončete režim údržby hostitele.

Nástroj VMM kontroluje, jestli hostitel projde ověřením identity, když ho přidáte, a při každé aktualizaci stavu hostitele. VMM nasazuje a migruje stíněné virtuální počítače jenom na hostitele s úspěšně ověřenou identitou. Stav ověření hostitele můžete zkontrolovat v částiCelkový stav>vlastnosti>klienta HGS.

Povolení strážených hostitelů v cloudu VMM

Postup, jak v cloudu povolit podporu strážených hostitelů:

1. V konzole VMM vyberte Virtuální počítače a cloudy služeb>. Klikněte pravým tlačítkem na název > cloudu Vlastnosti.
2. V části Obecná>podpora chráněných virtuálních počítačů vyberte Podporované v tomto privátním cloudu.

Správa a nasazení zásad integrity kódu pomocí VMM

Ve strážených prostředcích infrastruktury nakonfigurovaných na používání ověření identity čipem TPM musí být každý hostitel nakonfigurovaný zásadami integrity kódu, kterým služba Strážce hostitele důvěřuje. Pro usnadnění správy zásad integrity kódu můžete k nasazení nových nebo aktualizovaných zásad na stráženého hostitele volitelně použít nástroj VMM.

Pokud chcete nasadit zásady integrity kódu na stráženého hostitele spravovaného VMM, proveďte následující kroky:

1. Vytvořte zásady integrity kódu pro každého odkazovaného hostitele ve vašem prostředí. Pro každou jedinečnou hardwarovou a softwarovou konfiguraci strážených hostitelů budete potřebovat jiné zásady CI.
2. Zásady integrity kódu uložte do zabezpečené sdílené složky. Účty počítače jednotlivých strážených hostitelů vyžadují oprávnění ke čtení sdílené složky. Oprávnění k zápisu by měli mít pouze důvěryhodní správci.
3. V konzole VMM vyberte Nastavení Nastavení>služby Strážce hostitele.
4. V části Zásady integrity kódu vyberte Přidat a zadejte popisný název a cestu k zásadám CI. Tento krok opakujte pro všechny zásady integrity kódu. Nezapomeňte zásady pojmenovat způsobem, který vám pomůže určit, které zásady se mají na které hostitele použít.
5. Vyberte Dokončit a uložte konfiguraci.

Teď pro každého stráženého hostitele proveďte následující postup, kterým zásady integrity kódu použijete:

1. Uveďte hostitele do režimu údržby.

2. V části Všichni hostitelé klikněte pravým tlačítkem naslužbu Strážce hostitelevlastnosti> hostitele>.

   

3. Povolte možnost konfigurace hostitele zásadami integrity kódu a pak pro systém vyberte odpovídající zásady.

4. Vyberte OK a použijte změnu konfigurace. Hostitel se může za účelem použití nových zásad restartovat.

5. Ukončete režim údržby hostitele.

Upozornění

Ujistěte se, že jste pro hostitele vybrali správnou zásadu integrity kódu. Pokud se na hostitele použijí nekompatibilní zásady, nemusí některé aplikace, ovladače nebo komponenty operačního systému fungovat.

Pokud zásady integrity kódu aktualizujete ve sdílené složce a chcete aktualizovat i strážené hostitele, můžete k tomu použít následující postup:

1. Uveďte hostitele do režimu údržby.
2. V části Všichni hostitelé klikněte pravým tlačítkem na hostitele >Použít nejnovější zásady integrity kódu.
3. Ukončete režim údržby hostitele.

Další kroky

• Nastavte stíněný disk šablony, disk nástroje a šablonu virtuálního počítače.