Bereitstellen von geschützten virtuellen Maschinen im VMM-Fabric

Dieser Artikel beschreibt das Bereitstellen von geschützten virtuellen Maschinen im Compute-Fabric von System Center – Virtual Machine Manager (VMM).

Sie können geschützte VMs auf unterschiedliche Weise in VMM bereitstellen:

• Konvertieren Sie eine vorhandene VM in eine geschützte VM.
• Erstellen Sie eine neue abgeschirmte VM mithilfe einer signierten VM-Festplatte (VHDX) und optional einer VM-Vorlage.

Hinweis

Bei der Bereitstellung eines abgeschirmten virtuellen Computers über ein Netzwerk mit einem Lastenausgleichs- oder WAN-Optimierungsgerät können Probleme auftreten. Es ist erforderlich, dass das Paket während der Übertragung nicht geändert wird, damit abgeschirmte VMs erfolgreich bereitgestellt werden können.

Vorbereitung

Schauen Sie sich ein Video an, das einen kurzen, zweiminütigen Überblick über die Bereitstellung von geschützten VMs in VMM bietet. Stellen Sie dann sicher, dass Sie Folgendes getan haben:

1. Vorbereiten eines HGS-Server: Es muss ein HGS-Server bereitgestellt sein. Weitere Informationen

2. Einrichten von VMM: Sie müssen globale HGS-Einstellungen in VMM konfigurieren und mindestens einen geschützten Host einrichten. Wenn geschützte Hosts zu einer Cloud gehören, muss die Unterstützung geschützter VMs in der Cloud aktiviert werden. Weitere Informationen

3. Vorbereiten einer abgeschirmten VHDX- und VM-Vorlage: Sie sollten abgeschirmte VMs von einer abgeschirmten virtuellen Festplatte (VHDX) bereitstellen und optional eine VM-Vorlage verwenden. Erfahren Sie, wie Sie diese vorbereiten.

   Hinweis

   Mit einer Dienstvorlage können Sie keinen abgeschirmten virtuellen Computer erstellen. Verwenden Sie stattdessen ein Skript.

4. Vorbereiten von Schutzdatendateien: Um die signierten Vorlagedatenträger in der VMM-Bibliothek zu verwenden, müssen Mandanten mindestens eine Schutzdatendatei vorbereiten. Diese Datei enthält alle Geheimnisse, die ein Mandant zum Bereitstellen eines virtuellen Computers benötigt, einschließlich der Datei für die unbeaufsichtigte Registrierung, die zum Spezialisieren der Vm, Zertifikate und Administratorkontokennwörter verwendet wird. Die Datei gibt auch an, welchem geschützten Fabric ein Mandant zum Hosten der VMs vertraut, und enthält Informationen zu den signierten Vorlagedatenträgern. Die Datei ist verschlüsselt und kann nur von einem Host in einem geschützten Fabric gelesen werden, dem vom Mandanten vertraut wird. Weitere Informationen

5. Einrichten der Hostgruppe: Zur einfacheren Verwaltung empfiehlt es sich, überwachte Hosts in einer dedizierten VMM-Hostgruppe zu platzieren.

6. Überprüfen der Anforderungen für vorhandene VMs: Wenn Sie eine vorhandene VM in eine geschützte VM konvertieren möchten, beachten Sie Folgendes:

   • Die VM muss zur 2. Generation gehören, und auf ihr muss die Microsoft Windows-Vorlage für einen sicheren Start aktiviert sein.
   • Das Betriebssystem auf dem Datenträger muss eines der folgenden sein:
     • Windows Server 2022, Windows Server 2019, Windows Server 2016
     • Windows 11, Windows 10
   • Der Betriebssystemdatenträger für den virtuellen Computer muss die GUID-Partitionstabelle verwenden. Dies ist für VMs der 2. Generation erforderlich, um UEFI zu unterstützen.

7. Einrichten der Hilfs-VHD: Der Hostingdienstanbieter muss eine VM erstellen, die als Hilfs-VHD zum Konvertieren der vorhandenen Computer fungiert. Weitere Informationen

Hinzufügen von Schutzdatendateien zu VMM

Vor dem Konvertieren einer vorhandenen VM in eine abgeschirmte VM und dem Bereitstellen einer neuen abgeschirmten VM aus einer Vorlage muss der Besitzer der VM eine Schutzdatendatei generieren und zu VMM hinzufügen.

Wenn Sie noch keine Schutzdatendatei importiert haben, führen Sie die folgenden Schritte aus:

1. Erstellen Sie eine Schutzdatendatei, wenn Sie noch keine haben. Stellen Sie sicher, dass die Abschirmungsdatendatei das Host fabric autorisiert, das VMM verwaltet, um Ihre abgeschirmten VMs auszuführen.
2. Wählen Sie in der VMM-Konsole Die Option Bibliothek>importieren schutzende Daten>Durchsuchen aus, und wählen Sie Ihre abschirmende Datendatei aus.
3. Geben Sie einen Anzeigenamen für die Schutzdatendatei im Feld Name an, und fügen Sie optional eine Beschreibung hinzu. Es wird empfohlen, anzugeben, ob die abschirmende Datendatei für die Verwendung mit den vorhandenen oder neuen VMs in ihrem Namen vorgesehen ist, um das Wiederfinden zu erleichtern.
4. Wählen Sie Importieren aus, um die abschirmenden Daten in VMM zu speichern.

Um die importierten Schutzdatendateien zu verwalten, wechseln Sie zu BibliothekVM-Schutzdaten (unter „Profile“).

Bereitstellen einer neuen geschützten VM

1. Stellen Sie sicher, dass Sie über alle Voraussetzungen verfügen, bevor Sie beginnen.
2. Wählen Sie unter VMs und Dienste die Option Virtuelle Maschine erstellen aus, um den Assistenten zum Erstellen virtueller Computer zu öffnen.
3. Wählen Sie unter Quelle auswählendie Option Vorhandene VM, VM-Vorlage oder virtuelle Festplatte>durchsuchen verwenden aus.
4. Wählen Sie die Vorlage einer abgeschirmten VM oder einen signierten Vorlagendatenträger aus. Beide werden durch das Schildsymbol identifiziert.
5. Wählen Sie unter Abschirmende Datendatei auswählendie Option Durchsuchen aus, und wählen Sie eine abschirmende Datendatei aus. Es werden nur Schutzdatendateien angezeigt, die verwendet werden können, um eine neue abgeschirmte VM zu erstellen. Wählen Sie OK>Weiter aus, um fortzufahren.
6. Befolgen Sie diese Anweisungen, um den Assistenten abzuschließen und die VM auf einem Host oder in einer Cloud bereitzustellen.

Wenn Sie den Assistenten abgeschlossen haben, erstellt VMM eine neue geschützte VM vom Datenträger oder aus der Vorlage:

1. Die Vorlagendatenträgerdatei (VHDX) wird aus der VMM-Bibliothek kopiert.
2. Bei der VM-Bereitstellung werden die Daten in der Schutzdatendatei entschlüsselt, eventuell vorhandene Ersetzungszeichenfolgen in der Datei „unattend.xml“ ergänzt und zusätzliche Dateien aus der Schutzdatendatei auf das Betriebssystemlaufwerk (z.B. das RDP-Zertifikat) kopiert.
3. Die VM wird neu gestartet, angepasst und mit BitLocker erneut verschlüsselt. Der BitLocker-Schlüssel für die vollständige Volumeverschlüsselung wird im virtuellen TPM der neuen VM gespeichert.
4. Die VM-Anpassung ist abgeschlossen, wenn der Befehl zum Herunterfahren in der unattend.xml-Datei ausgeführt wird. der virtuelle Computer bleibt deaktiviert. Wenn die Anpassung nicht vollständig durchgeführt wird, überprüfen Sie die Datei „unattend.xml“, indem Sie sie auf einer nicht abgeschirmten VM ausführen, oder verwenden Sie eine Schutzdatendatei mit Verschlüsselungsunterstützung, die Konsolenzugriff zulässt.
5. Sobald VMM erkennt, dass die Spezialisierung abgeschlossen ist, wird der Status aktualisiert, um anzugeben, dass die VM erstellt wurde. Falls dies ausgewählt wurde, wird die VM gestartet.

Abschirmen einer vorhandenen VM

Sie können den Schutz für eine VM aktivieren, die zurzeit auf einem nicht überwachten Host im VMM-Fabric ausgeführt wird.

1. Stellen Sie sicher, dass Sie über alle Voraussetzungen verfügen, bevor Sie beginnen.
2. Schalten Sie die VM offline.
3. Es empfiehlt sich, BitLocker auf allen Datenträgern zu aktivieren, die an die VM angefügt sind, bevor Sie die VM auf den überwachten Host verschieben.
4. Wählen Sie die VM aus, dann >>>> und danach Sie eine Datei mit geschützten Daten aus.
5. Fahren Sie die VM herunter, exportieren Sie sie aus dem nicht überwachten Host, und importieren Sie sie auf einen überwachten Host. Nur ein überwachter Host kann auf die VM-Daten zugreifen.

Nächste Schritte

Überprüfen Sie Verwalten der Einstellungen einer virtuellen Maschine, für mehr Informationen zum Konfigurieren von Leistungs- und Verfügbarkeitseinstellungen für VMs.