Bereitstellen eines abgeschirmten virtuellen Linux-Computers in der VMM-Fabric

Wichtig

Diese Version von Virtual Machine Manager (VMM) hat das Supportende erreicht. Sie sollten ein Upgrade auf VMM 2019 durchführen.

Dieser Artikel beschreibt das Bereitstellen von geschützten virtuellen Linux-Computern (VMs) in System Center 1801 – Virtual Machine Manager (VMM).

Vorgehensweise zum Abschirmen einer Linux-VM

In Windows Server 2016 wurde das Konzept abgeschirmter VMs für virtuelle Computer eingeführt, die auf Windows-Betriebssystemen basieren. Abgeschirmte VMs bieten Schutz vor böswilligen Administratoraktionen bei ruhenden VM-Daten oder bei nicht vertrauenswürdiger Software, die auf Hyper-V-Hosts ausgeführt wird. Weitere Informationen

Mit Windows Server Version 1709 führt Hyper-V die Unterstützung für die Bereitstellung von abgeschirmten Linux-VMs ein. Diese Unterstützung ist für VMM 1801 verfügbar.

Abschirmen einer Linux-VM

  1. Erstellen Sie einen signierten Vorlagedatenträger.
  2. Erstellen Sie eine Vorlage für abgeschirmte Linux-VMs in VMM.
  3. Generieren Sie eine abschirmende Datendatei (PDK).
  4. Erstellen Sie eine abgeschirmte Linux-VM mithilfe der VM-Vorlage und der PDK.

Hinweis

Wenn Sie das Wireless Application Protokoll (WAP) verwenden, können Sie abgeschirmte Linux-VMs auf die gleiche Weise bereitstellen wie abgeschirmte Windows-VMs.

Vorbereiten eines Vorlagedatenträgers

  1. Führen Sie diese Schritte aus, um den Vorlagedatenträger zu erstellen.

  2. Bevor Sie die lsvmtools installieren, installieren Sie den VMM-Spezialisierungs-Agent im Abschnitt Vorbereiten des Linux-Images der Anweisungen.

Signieren des Vorlagedatenträgers

  1. Generieren eines Zertifikats. Sie können zu Testzwecken ein selbstsigniertes Zertifikat verwenden.

    Verwenden Sie das folgende Beispielcmdlet:

    
     	$cert = New-SelfSignedCertificate -DnsName '<<signing.contoso.com>>'
    
    
  2. Signieren Sie den Datenträger mithilfe eines Windows Server 1709-Computers. Verwenden Sie das folgende Beispielcmdlet:

    Protect-TemplateDisk -Path "<<Path to the VHDX>>" -TemplateName "<<Template Name>>" -Version <<x.x.x.x>> -Certificate $cert -ProtectedTemplateTargetDiskType PreprocessedLinux
    
    
  3. Kopieren Sie den Vorlagedatenträger und das signierte Image in die VMM-Bibliothek.

Erstellen einer Vorlage für abgeschirmte Linux-VMs in VMM

  1. Wählen Sie in der Bibliothek der VMM-Konsole VM-Vorlage erstellen aus.

  2. Wählen Sie unter Quelle auswählen die Option Eine vorhandene VM-Vorlage verwenden aus. Wählen Sie den signierten Vorlagendatenträger aus, den Sie der VMM-Bibliothek hinzugefügt haben. Wählen Sie Weiteraus.

  3. Unter Hardware konfigurieren:

    • Wählen Sie unter Firmware die Option Sicheren Start aktivieren. Wählen Sie im Dropdownmenü Vorlage für den sicheren Start die Option OpenSourceShieldedVM aus.

      Hinweis

      Diese Startvorlage ist ein neues Feature für RS3-Hosts. Wenn VMM keine RS3-Hosts enthält, wird diese Option nicht im Menü Vorlage für den sicheren Start angezeigt.

    • Wählen Sie die erforderlichen Konfigurationsoptionen für weitere Hardwareeigenschaften aus, wie z.B. Prozessoren, Arbeitsspeicher und das VM-Netzwerk.

      Hardware configuration for a Linux shielded VM

  4. Gehen Sie unter Betriebssystem konfigurieren folgendermaßen vor:

    • Wählen Sie das Gastbetriebssystemprofil Neue Anpassungseinstellungen für Linux-Betriebssystem erstellen aus.

    • Wählen Sie das Betriebssystem auf dem zuvor erstellten Vorlagedatenträger aus (Ubuntu Linux).

      Configuration for the VM template's operating system

  5. Wählen Sie Weiter aus.

  6. Überprüfen Sie die Informationen in der Zusammenfassung, und wählen Sie Erstellen, um Generieren der Vorlage für abgeschirmte Linux-VMs in VMM abzuschließen aus.

Generieren der abschirmenden Datendatei

Vor dem Generieren der abschirmenden Datendatei (PDK):

  1. Rufen Sie die Überwachungsmetadaten aus dem Hostüberwachungsdienst (HGS) ab.
  2. Extrahieren Sie die Datei des Volumesignaturkatalogs (VSC).

Um die PDK zu generieren, führen Sie das folgende Beispielskript auf einem Server aus, auf dem Windows Server Version 1709 ausgeführt wird:


# Create a VolumeSignatureCatalog file for the template disk to ensure that no one tampers with the template disk at the deployment time
# Create an owner certificate
$Owner = New-HgsGuardian –Name '<<Owner>>' –GenerateCertificates

# Import the HGS guardian
$Guardian = Import-HgsGuardian -Path <<Import the xml from pre-step 1>> -Name '<<Name of the guardian>>' –AllowUntrustedRoot

# Create the PDK file on a server running Windows Server version 1709

New-ShieldingDataFile -ShieldingDataFilePath '<<Shielding Data file path>>' -Owner $Owner –Guardian $guardian –VolumeIDQualifier (New-VolumeIDQualifier -VolumeSignatureCatalogFilePath '<<Path to the .vsc file generated in pre-step 2>>' -VersionRule Equals) -AnswerFile '<<Path to LinuxOsConfiguration.xml>>' -policy Shielded

Erstellen einer abgeschirmten Linux-VM mithilfe der VM-Vorlage und der PDK

  1. Wähle Sie in der VMM-Konsole die Option Virtuellen Computer erstellen aus.

  2. Wählen Sie Vorhandenen virtuellen Computer, VM-Vorlage oder virtuelle Festplatte verwenden aus.

  3. Wählen Sie Vorlage für abgeschirmte Linux-VMWeiter aus.

    Selecting a source for the new virtual machine

  4. Benennen Sie den virtuellen Computer, und wählen Weiter aus.

  5. Stellen Sie unter Hardware konfigurieren sicher, dass die Details mit Ihren Vorlageneinstellungen übereinstimmen. Wählen Sie Weiteraus.

  6. Stellen Sie unter Betriebssystem konfigurieren sicher, dass die Informationen den Einstellungen entsprechen, die beim Erstellen der Vorlage festgelegt wurden. Wählen Sie Weiteraus.

  7. Wählen Sie die von Ihnen erstellte abschirmende Datendatei (PDK) aus.

  8. Wählen Sie die Zielhostgruppe aus, und wählen Sie Weiter aus.

  9. Wählen Sie den Host anhand der Bewertung aus, die von der VMM-Platzierungs-Engine vergeben wurde. Wählen Sie Weiteraus.

  10. Überprüfen Sie auf der Seite Einstellungen konfigurieren die Einstellungen für die VM, und wählen Sie dann Weiter aus.

  11. Überprüfen Sie die Aktionen in Eigenschaften hinzufügen, und wählen Sie Weiter aus.

  12. Um die abgeschirmte Linux-VM zu erstellen, wählen Sie Erstellen aus.

Während der Bereitstellung der VM liest der VMM-Spezialisierungs-Agent die Linux-Konfigurationsdatei in der PDK und passt die VM an.

Nächste Schritte