Bereitstellen eines abgeschirmten virtuellen Linux-Computers in der VMM-Fabric
Wichtig
Diese Version von Virtual Machine Manager (VMM) hat das Supportende erreicht. Sie sollten ein Upgrade auf VMM 2019 durchführen.
Dieser Artikel beschreibt das Bereitstellen von geschützten virtuellen Linux-Computern (VMs) in System Center 1801 – Virtual Machine Manager (VMM).
Vorgehensweise zum Abschirmen einer Linux-VM
In Windows Server 2016 wurde das Konzept abgeschirmter VMs für virtuelle Computer eingeführt, die auf Windows-Betriebssystemen basieren. Abgeschirmte VMs bieten Schutz vor böswilligen Administratoraktionen bei ruhenden VM-Daten oder bei nicht vertrauenswürdiger Software, die auf Hyper-V-Hosts ausgeführt wird. Weitere Informationen
Mit Windows Server Version 1709 führt Hyper-V die Unterstützung für die Bereitstellung von abgeschirmten Linux-VMs ein. Diese Unterstützung ist für VMM 1801 verfügbar.
Abschirmen einer Linux-VM
- Erstellen Sie einen signierten Vorlagedatenträger.
- Erstellen Sie eine Vorlage für abgeschirmte Linux-VMs in VMM.
- Generieren Sie eine abschirmende Datendatei (PDK).
- Erstellen Sie eine abgeschirmte Linux-VM mithilfe der VM-Vorlage und der PDK.
Hinweis
Wenn Sie das Wireless Application Protokoll (WAP) verwenden, können Sie abgeschirmte Linux-VMs auf die gleiche Weise bereitstellen wie abgeschirmte Windows-VMs.
Vorbereiten eines Vorlagedatenträgers
Führen Sie diese Schritte aus, um den Vorlagedatenträger zu erstellen.
Bevor Sie die lsvmtools installieren, installieren Sie den VMM-Spezialisierungs-Agent im Abschnitt Vorbereiten des Linux-Images der Anweisungen.
Signieren des Vorlagedatenträgers
Generieren eines Zertifikats. Sie können zu Testzwecken ein selbstsigniertes Zertifikat verwenden.
Verwenden Sie das folgende Beispielcmdlet:
$cert = New-SelfSignedCertificate -DnsName '<<signing.contoso.com>>'Signieren Sie den Datenträger mithilfe eines Windows Server 1709-Computers. Verwenden Sie das folgende Beispielcmdlet:
Protect-TemplateDisk -Path "<<Path to the VHDX>>" -TemplateName "<<Template Name>>" -Version <<x.x.x.x>> -Certificate $cert -ProtectedTemplateTargetDiskType PreprocessedLinuxKopieren Sie den Vorlagedatenträger und das signierte Image in die VMM-Bibliothek.
Erstellen einer Vorlage für abgeschirmte Linux-VMs in VMM
Wählen Sie in der Bibliothek der VMM-Konsole VM-Vorlage erstellen aus.
Wählen Sie unter Quelle auswählen die Option Eine vorhandene VM-Vorlage verwenden aus. Wählen Sie den signierten Vorlagendatenträger aus, den Sie der VMM-Bibliothek hinzugefügt haben. Wählen Sie Weiteraus.
Unter Hardware konfigurieren:
Wählen Sie unter Firmware die Option Sicheren Start aktivieren. Wählen Sie im Dropdownmenü Vorlage für den sicheren Start die Option OpenSourceShieldedVM aus.
Hinweis
Diese Startvorlage ist ein neues Feature für RS3-Hosts. Wenn VMM keine RS3-Hosts enthält, wird diese Option nicht im Menü Vorlage für den sicheren Start angezeigt.
Wählen Sie die erforderlichen Konfigurationsoptionen für weitere Hardwareeigenschaften aus, wie z.B. Prozessoren, Arbeitsspeicher und das VM-Netzwerk.

Gehen Sie unter Betriebssystem konfigurieren folgendermaßen vor:
Wählen Sie das Gastbetriebssystemprofil Neue Anpassungseinstellungen für Linux-Betriebssystem erstellen aus.
Wählen Sie das Betriebssystem auf dem zuvor erstellten Vorlagedatenträger aus (Ubuntu Linux).

Wählen Sie Weiter aus.
Überprüfen Sie die Informationen in der Zusammenfassung, und wählen Sie Erstellen, um Generieren der Vorlage für abgeschirmte Linux-VMs in VMM abzuschließen aus.
Generieren der abschirmenden Datendatei
Vor dem Generieren der abschirmenden Datendatei (PDK):
- Rufen Sie die Überwachungsmetadaten aus dem Hostüberwachungsdienst (HGS) ab.
- Extrahieren Sie die Datei des Volumesignaturkatalogs (VSC).
Um die PDK zu generieren, führen Sie das folgende Beispielskript auf einem Server aus, auf dem Windows Server Version 1709 ausgeführt wird:
# Create a VolumeSignatureCatalog file for the template disk to ensure that no one tampers with the template disk at the deployment time
# Create an owner certificate
$Owner = New-HgsGuardian –Name '<<Owner>>' –GenerateCertificates
# Import the HGS guardian
$Guardian = Import-HgsGuardian -Path <<Import the xml from pre-step 1>> -Name '<<Name of the guardian>>' –AllowUntrustedRoot
# Create the PDK file on a server running Windows Server version 1709
New-ShieldingDataFile -ShieldingDataFilePath '<<Shielding Data file path>>' -Owner $Owner –Guardian $guardian –VolumeIDQualifier (New-VolumeIDQualifier -VolumeSignatureCatalogFilePath '<<Path to the .vsc file generated in pre-step 2>>' -VersionRule Equals) -AnswerFile '<<Path to LinuxOsConfiguration.xml>>' -policy Shielded
Erstellen einer abgeschirmten Linux-VM mithilfe der VM-Vorlage und der PDK
Wähle Sie in der VMM-Konsole die Option Virtuellen Computer erstellen aus.
Wählen Sie Vorhandenen virtuellen Computer, VM-Vorlage oder virtuelle Festplatte verwenden aus.
Wählen Sie Vorlage für abgeschirmte Linux-VMWeiter aus.

Benennen Sie den virtuellen Computer, und wählen Weiter aus.
Stellen Sie unter Hardware konfigurieren sicher, dass die Details mit Ihren Vorlageneinstellungen übereinstimmen. Wählen Sie Weiteraus.
Stellen Sie unter Betriebssystem konfigurieren sicher, dass die Informationen den Einstellungen entsprechen, die beim Erstellen der Vorlage festgelegt wurden. Wählen Sie Weiteraus.
Wählen Sie die von Ihnen erstellte abschirmende Datendatei (PDK) aus.
Wählen Sie die Zielhostgruppe aus, und wählen Sie Weiter aus.
Wählen Sie den Host anhand der Bewertung aus, die von der VMM-Platzierungs-Engine vergeben wurde. Wählen Sie Weiteraus.
Überprüfen Sie auf der Seite Einstellungen konfigurieren die Einstellungen für die VM, und wählen Sie dann Weiter aus.
Überprüfen Sie die Aktionen in Eigenschaften hinzufügen, und wählen Sie Weiter aus.
Um die abgeschirmte Linux-VM zu erstellen, wählen Sie Erstellen aus.
Während der Bereitstellung der VM liest der VMM-Spezialisierungs-Agent die Linux-Konfigurationsdatei in der PDK und passt die VM an.
Nächste Schritte
- Verschaffen Sie sich eine Übersicht über die Geschützte Fabric und abgeschirmte VMs.
- Erfahren Sie mehr über die Tools für eine abgeschirmte Linux-VM.