Bereitstellen von geschützten virtuellen Maschinen im VMM-Fabric
Wichtig
Diese Version von Virtual Machine Manager (VMM) hat das Supportende erreicht. Sie sollten ein Upgrade auf VMM 2019 durchführen.
Dieser Artikel beschreibt das Bereitstellen von geschützten virtuellen Maschinen im Compute-Fabric von System Center – Virtual Machine Manager (VMM).
Sie können geschützte VMs auf unterschiedliche Weise in VMM bereitstellen:
- Konvertieren Sie eine vorhandene VM in eine geschützte VM.
- Erstellen Sie eine neue geschützte VM mithilfe einer signierten virtuellen Festplatte (VHDX) und optional eine VM-Vorlage.
Vorbereitung
Schauen Sie sich ein Video an, das einen kurzen, zweiminütigen Überblick über die Bereitstellung von geschützten VMs in VMM bietet. Stellen Sie anschließend sicher, dass Sie die folgenden Schritte ausgeführt haben:
Vorbereiten eines HGS-Server: Es muss ein HGS-Server bereitgestellt sein. Weitere Informationen
Einrichten von VMM: Sie müssen globale HGS-Einstellungen in VMM konfigurieren und mindestens einen geschützten Host einrichten. Wenn geschützte Hosts zu einer Cloud gehören, muss die Unterstützung geschützter VMs in der Cloud aktiviert werden. Weitere Informationen
Vorbereiten einer geschützten VHDX und VM-Vorlage: Sie stellen geschützte VMs über eine geschützte virtuelle Festplatte (VHDX) sowie optional mit einer VM-Vorlage bereit. Erfahren Sie, wie Sie diese vorbereiten.
Hinweis
Mit einer Dienstvorlage können Sie keinen abgeschirmten virtuellen Computer erstellen. Verwenden Sie stattdessen ein Skript.
Vorbereiten von Schutzdatendateien: Um die signierten Vorlagedatenträger in der VMM-Bibliothek zu verwenden, müssen Mandanten mindestens eine Schutzdatendatei vorbereiten. Diese Datei enthält alle Geheimnisse, die ein Mandant zum Bereitstellen einer VM benötigt, z.B. die Datei für unbeaufsichtigte Installation (unattend.xml), die zum Angeben der VM, der Zertifikate und der Kennwörter des Administratorkontos verwendet wird. Die Datei gibt auch an, welchem geschützten Fabric ein Mandant zum Hosten der VMs vertraut, und enthält Informationen zu den signierten Vorlagedatenträgern. Die Datei ist verschlüsselt und kann nur von einem Host in einem geschützten Fabric gelesen werden, dem vom Mandanten vertraut wird. Weitere Informationen
Einrichten der Hostgruppe: Zur einfacheren Verwaltung empfiehlt es sich, überwachte Hosts in einer dedizierten VMM-Hostgruppe zu platzieren.
Überprüfen der Anforderungen für vorhandene VMs: Wenn Sie eine vorhandene VM in eine geschützte VM konvertieren möchten, beachten Sie Folgendes:
- Die VM muss zur 2. Generation gehören, und auf ihr muss die Microsoft Windows-Vorlage für einen sicheren Start aktiviert sein.
- Das Betriebssystem auf dem Datenträger muss eines der folgenden sein:
- Windows Server 2016, Windows Server 2012 R2, Windows Server 2012
- Windows 10, Windows 8.1, Windows 8
- Der Betriebssystem-Datenträger für die VM muss die GUID-Partitionstabelle verwenden. Dies ist für VMs der 2. Generation erforderlich, um UEFI zu unterstützen.
Einrichten der VHD für das Schutzhilfsprogramm: Der Anbieter des Hostingdiensts muss eine VM erstellen, die als VHD für das Schutzhilfsprogramm fungiert, um vorhandene virtuelle Maschinen zu konvertieren. Weitere Informationen
Hinzufügen von Schutzdatendateien zu VMM
Vor dem Konvertieren einer vorhandenen VM in eine abgeschirmte VM und dem Bereitstellen einer neuen abgeschirmten VM aus einer Vorlage muss der Besitzer der VM eine Schutzdatendatei generieren und zu VMM hinzufügen.
Wenn Sie noch keine Schutzdatendatei importiert haben, führen Sie die folgenden Schritte aus:
- Erstellen Sie eine Schutzdatendatei, wenn Sie noch keine haben. Stellen Sie sicher, dass die Schutzdatendatei das hostende VMM-Fabric autorisiert und dass die abgeschirmten VMs ausgeführt werden können.
- Klicken Sie in der VMM-Konsole auf BibliothekSchutzdaten importierenDurchsuchen, und wählen Sie die Schutzdatendatei aus.
- Geben Sie einen Anzeigenamen für die Schutzdatendatei im Feld Name an, und fügen Sie optional eine Beschreibung hinzu. Es wird empfohlen, im Namen anzugeben, ob die Schutzdatendatei für vorhandene oder neue VMs vorgesehen ist, damit sie später leichter gefunden werden kann.
- Klicken Sie auf Importieren, um die Schutzdatendatei in VMM zu speichern.
Um die importierten Schutzdatendateien zu verwalten, wechseln Sie zu BibliothekVM-Schutzdaten (unter „Profile“).
Bereitstellen einer neuen geschützten VM
- Stellen Sie sicher, dass Sie alle Voraussetzungen erfüllt sind, bevor Sie beginnen.
- Klicken Sie unter VMs und Dienste auf Virtuelle Maschine erstellen, um den Assistenten zum Erstellen virtueller Maschinen zu öffnen.
- Klicken Sie unter Quelle auswählen auf Vorhandene virtuelle Maschine, VM-Vorlage oder virtuelle Festplatte verwendenDurchsuchen.
- Wählen Sie die Vorlage einer abgeschirmten VM oder einen signierten Vorlagendatenträger aus. Beide sind durch das Schildsymbol
gekennzeichnet. - Klicken Sie unter Schutzdatendatei auswählen auf Durchsuchen, und wählen Sie eine Schutzdatendatei aus. Es werden nur Schutzdatendateien angezeigt, die verwendet werden können, um eine neue abgeschirmte VM zu erstellen. Klicken Sie zum Fortfahren auf OKWeiter.
- Befolgen Sie diese Anweisungen, um den Assistenten abzuschließen und die VM auf einem Host oder in einer Cloud bereitzustellen.
Wenn Sie den Assistenten abgeschlossen haben, erstellt VMM eine neue geschützte VM vom Datenträger oder aus der Vorlage:
- Die Vorlagendatenträgerdatei (VHDX) wird aus der VMM-Bibliothek kopiert.
- Bei der VM-Bereitstellung werden die Daten in der Schutzdatendatei entschlüsselt, eventuell vorhandene Ersetzungszeichenfolgen in der Datei „unattend.xml“ ergänzt und zusätzliche Dateien aus der Schutzdatendatei auf das Betriebssystemlaufwerk (z.B. das RDP-Zertifikat) kopiert.
- Die VM wird neu gestartet, angepasst und mit BitLocker erneut verschlüsselt. Der BitLocker-Schlüssel für die vollständige Volumeverschlüsselung wird im virtuellen TPM der neuen VM gespeichert.
- Die Anpassung der VM ist abgeschlossen, wenn der Befehl zum Herunterfahren in der Datei „unattend.xml“ ausgeführt wird. Die VM bleibt ausgeschaltet. Wenn die Anpassung nicht vollständig durchgeführt wird, überprüfen Sie die Datei „unattend.xml“, indem Sie sie auf einer nicht abgeschirmten VM ausführen, oder verwenden Sie eine Schutzdatendatei mit Verschlüsselungsunterstützung, die Konsolenzugriff zulässt.
- Sobald VMM erkennt, dass die Spezialisierung abgeschlossen ist, wird der Status aktualisiert, um anzugeben, dass die VM erstellt wurde. Falls dies ausgewählt wurde, wird die VM gestartet.
Abschirmen einer vorhandenen VM
Sie können den Schutz für eine VM aktivieren, die zurzeit auf einem nicht überwachten Host im VMM-Fabric ausgeführt wird.
- Stellen Sie sicher, dass alle Voraussetzungen erfüllt sind, bevor Sie beginnen.
- Schalten Sie die VM offline.
- Es empfiehlt sich, BitLocker auf allen Datenträgern zu aktivieren, die an die VM angefügt sind, bevor Sie die VM auf den überwachten Host verschieben.
- Wählen Sie die VM aus, dann >>>> und danach Sie eine Datei mit geschützten Daten aus.
- Fahren Sie die VM herunter, exportieren Sie sie aus dem nicht überwachten Host, und importieren Sie sie auf einen überwachten Host. Nur ein überwachter Host kann auf die VM-Daten zugreifen.
Nächste Schritte
Überprüfen Sie Verwalten der Einstellungen einer virtuellen Maschine, für mehr Informationen zum Konfigurieren von Leistungs- und Verfügbarkeitseinstellungen für VMs.