Einrichten einer Datenträger- und VM-Vorlage zum Bereitstellen abgeschirmter VMs

Wichtig

Diese Version von Virtual Machine Manager (VMM) hat das Supportende erreicht. Sie sollten ein Upgrade auf VMM 2019 durchführen.

Sie stellen geschützte virtuelle Computer im Compute-Fabric von System Center Virtual Machine Manager (VMM) unter Verwendung einer signierten VM-Festplatte (VHDX) und optional mit einer VM-Vorlage bereit. Dieser Artikel beschreibt, wie signierte Vorlagendatenträger zu VMM hinzugefügt werden, ein Hilfsprogramm-Datenträger zum Schutz konfiguriert wird, neue abgeschirmte VMs bereitgestellt werden und in VMM vorhandene VMs in abgeschirmte VMs konvertiert werden.

Vorbereitung

  • Auf dem signierten Vorlagendatenträger, der zum Erstellen der Vorlage für eine abgeschirmte VM verwendet wird, müssen Familie und Version gekennzeichnet sein.
  • Die VMM-Bibliothek, der Sie den signierten Vorlagendatenträger hinzufügen, muss für Clouds zugänglich sein, über die abgeschirmte VMs bereitgestellt werden.
  • Die freigegebene Bibliothek sollte den Clouds hinzugefügt werden, über die abgeschirmte VMs bereitgestellt werden (nicht im schreibgeschützten Modus).

Hinzufügen signierter Vorlagendatenträger für abgeschirmte VMs zur VMM-Bibliothek

Abgeschirmte VMs können auf zwei Arten bereitgestellt werden: durch die direkte Bereitstellung über einen signierten Vorlagendatenträger oder durch Konvertieren einer vorhandenen VM in eine abgeschirmte VM. Durch signierte Vorlagendatenträger wird für Mandanten sichergestellt, dass der Inhalt des Datenträgers nicht geändert wurde. Zudem können Mandanten damit Bereitstellungsgeheimnisse wie Administratorkennwörter und Zertifikate für die VM in verschlüsselter Form sicher übertragen. Aus diesem Grund werden abgeschirmte VMs vorzugsweise über signierte Vorlagendatenträgern bereitgestellt.

Führen Sie zum Vorbereiten und Hinzufügen eines signierten Vorlagendatenträgers zur VMM-Bibliothek folgende Schritte aus:

  1. Bereiten Sie einen signierten Vorlagendatenträger auf einem Computer unter Windows Server 2016 mit Desktopdarstellung oder unter Windows 10 mit installierten Remoteserver-Verwaltungstools vor.

  2. Kopieren Sie den Vorlagendatenträger in eine Bibliotheksfreigabe (standardmäßig „VMM-Server>\MSSCVMMLibrary\VHDs“), und aktualisieren Sie den Bibliothekserver.

  3. Um VMM Informationen über das Betriebssystem auf dem Vorlagendatenträger bereitzustellen, klicken Sie unter Bibliothek mit der rechten Maustaste auf den Datenträger, und klicken Sie dann auf Eigenschaften.

  4. Wählen Sie unter Betriebssystem das auf dem Datenträger installierte Betriebssystem aus. Dadurch wird VMM mitgeteilt, dass die VHDX nicht leer ist. Das Schildsymbol neben dem Datenträgernamen kennzeichnet diesen als signierten Vorlagendatenträger für geschützte VMs. Geben Sie zudem Informationen zur Familie und dem Release des Datenträgers an, um die Ressourcen im Azure Pack-Self-Service-Portal des Mandanten bereitzustellen (optional).

    Disk properties window for the signed template disk

  5. Klicken Sie auf OK, um die Eigenschaften des signierten Vorlagendatenträgers zu speichern.

Erstellen einer Vorlage für eine abgeschirmte VM

Sie können optional eine Vorlage für eine abgeschirmte VM mit einem signierten Vorlagendatenträger erstellen. VM-Vorlagen definieren die Ressourcen virtueller Computer, z.B. CPU-Anzahl, RAM und Netzwerk für einen Betriebssystemdatenträger.

Vorlagen für abgeschirmte VMs unterscheiden sich geringfügig von Vorlagen für reguläre VMs. Einige Einstellungen können nicht geändert werden – z.B. muss die VM eine VM der 2. Generation sein, bei der der sichere Start aktiviert ist. Erstellen Sie die VM-Vorlage wie folgt:

  1. Klicken Sie auf BibliothekVM-Vorlage erstellen. Klicken Sie auf der Seite Quelle auswählen auf „Vorhandene VM-Vorlage oder in der Bibliothek gespeicherte virtuelle Festplatte verwenden“ Durchsuchen.
  2. Wählen Sie den signierten Vorlagendatenträger aus, geben Sie einen Vorlagennamen und optional eine Beschreibung ein, und klicken Sie auf OK.
  3. Geben Sie unter Hardware konfigurieren die Hardwareeigenschaften für VMs ein, die Sie aus der Vorlage erstellen. Stellen Sie sicher, dass mindestens eine Netzwerkkarte konfiguriert wurde und verfügbar ist. Mandanten stellen die Verbindung mit geschützten VMs über Remotedesktopverbindung, Windows-Remoteverwaltung oder andere Remoteverwaltungstools her, die Netzwerke erfordern.
  4. Wenn Sie statische IP-Adressen im Mandantenpool verwenden möchten, müssen Sie Ihren Mandanten dies mitteilen. Mandanten müssen eine Antwortdatei mit Werten bereitstellen, mit der eine geschützte VM für sie individualisiert wird. Es gibt spezielle, bekannte Platzhalterwerte, die zur Unterstützung von statischen IP-Adresspools erforderlich sind.
  5. Geben Sie unter Betriebssystem konfigurieren die Betriebssystemversion, den Computernamen, den Product Key und die Zeitzone an. Der Mandant stellt sichere Informationen, wie z.B. das Administratorkennwort, in einer Schutzdatendatei (PDK) bereit, die bei der Bereitstellung einer neuen VM zur Verfügung gestellt wird. Wenn Sie einen Product Key angeben, stellen Sie sicher, dass er für das Betriebssystem auf dem Vorlagendatenträger gültig ist. Wenn dies nicht der Fall ist, wird die VM nicht erfolgreich bereitgestellt. Vergewissern Sie sich nach dem Erstellen der VM-Vorlage, dass diese für die Mandantenadministrator-Benutzerrolle verfügbar ist. Mandanten können sie dann verwenden, um neue VMs bereitzustellen.

Konfigurieren der Schutzhilfsprogramm-VHD

Vorhandene Windows-VMs können auch mit einer Schutzhilfsprogramm-VHD in abgeschirmte VMs konvertiert werden. Die Hilfsprogramm-VHD ist ein spezieller Datenträger mit Tools zum Verschlüsseln des Betriebssystemlaufwerks einer anderen VM. VMM muss mit einer Hilfsprogramm-VHD konfiguriert werden, bevor Sie vorhandene VMs schützen können.

  1. Bereiten Sie eine Hilfsprogramm-VHD auf einem Computer unter Windows Server 2016 oder Windows 10 mit installierten Remoteserver-Verwaltungstools vor.
  2. Kopieren Sie die Hilfsprogramm-VHD in eine Bibliotheksfreigabe, und aktualisieren Sie den Bibliothekserver.
  3. Klicken Sie in der VMM-Konsole auf EinstellungenEinstellungen für den Host-Überwachungsdienst.
  4. Klicken Sie im Abschnitt „VHD für Schutzhilfsprogramm“ auf Durchsuchen, und wählen Sie die Hilfsprogramm-VHD aus der Liste der Dateien in den Bibliotheksfreigaben aus.
  5. Klicken Sie auf Fertig stellen, um die Konfiguration zu speichern.

Wenn die Schutzhilfsprogramm-VHD konfiguriert ist, können Sie mit dem Schützen einer vorhandenen VM fortfahren.

Nächste Schritte

Überprüfen Sie Bereitstellen geschützter VMs, um zu verstehen, wie Sie geschützte virtuelle Maschinen in einem VMM-Compute-Fabric bereitstellen können.