Aprovisionar hosts protegidos en VMMProvision guarded hosts in VMM

Se aplica a: System Center 2016 - Virtual Machine ManagerApplies To: System Center 2016 - Virtual Machine Manager

En este artículo se describe cómo implementar hosts protegidos de Hyper-V en el tejido de proceso de System Center 2016 Virtual Machine Manager (VMM).This article describes how to deploy guarded Hyper-V hosts in a System Center 2016 - Virtual Machine Manager (VMM) compute fabric. Más información sobre los tejidos protegidos en la información general del escenario.Learn more about guarded fabrics in the scenario overview.

Existen dos formas de configurar hosts protegidos de Hyper-V en el tejido de VMM.There are a couple of ways to set up guarded Hyper-V hosts in a VMM fabric.

  • Configure un host existente para que sea un host protegido: puede configurar un host para ejecutar máquinas virtuales blindadas.Configure an existing host to be a guarded host: You can configure an existing host to run shielded VMs.
  • Agregar o aprovisionar un host protegido nuevo: este host podría ser:Add or provision a new guarded host: This host could be:
    • Un equipo con Windows Server existente (con o sin el rol de Hyper-V)An existing Windows Server computer (with or without the Hyper-V role)
    • Un equipo sin sistema operativoA bare-metal computer

Los hosts protegidos se configuran en el tejido de VMM con una de las siguientes acciones:You set up guarded hosts in the VMM fabric as follows:

  1. Establecer una configuración global de HGS: VMM conecta todos los hosts protegidos al mismo servidor HGS para que se puedan migrar máquinas virtuales blindadas entre los hosts sin problemas.Configure global HGS settings: VMM connects all guarded hosts to the same HGS server so that you can successfully migrate shielded VMs between the hosts. Hay que especificar una configuración de HGS global válida para todos los hosts protegidos, aunque se puede definir una configuración específica para un host que reemplace la configuración global.You specify global HGS settings that apply to all guarded hosts, although you can specify host-specific settings that override the global settings. La configuración incluye:Settings include:

    • URL del servidor de atestación: dirección URL que el host usa para conectar con el servicio de atestación de HGS.Attestation URL: The URL that the host uses to connect to the HGS attestation service. Este servicio autoriza un host para que ejecute máquinas virtuales blindadas.This service authorizes a host to run shielded VMs.
    • URL del servidor de protección de claves: dirección URL que el host usa para recuperar la clave necesaria para descifrar máquinas virtuales.Key protection server URL: The URL that the host uses to retrieve the key needed to decrypt VMs. El host debe pasar la atestación con el fin de recuperar las claves.The host must pass attestation in order to retrieve keys.
    • Directivas de integridad de código: una directiva de integridad de código restringe el software que se puede ejecutar en un host protegido.Code integrity policies: A code integrity policy restricts the software that can run on a guarded host. Cuando HGS está configurado para usar la atestación de TPM, los hosts protegidos se deben configurar para usar una directiva de integridad de código autorizada por el servidor HGS.When HGS is configured to use TPM attestation, guarded hosts must be configured to use a code integrity policy authorized by the HGS server. Puede especificar la ubicación de las directivas de integridad de código en VMM e implementarlas en los hosts.You can specify the location of code integrity policies in VMM and deploy them to your hosts. Esto es opcional y no es necesario para administrar a un tejido protegido.This is optional and not required to manage a guarded fabric.
    • Aplicación auxiliar de blindaje de máquina virtual VHD: un disco duro virtual especialmente preparado que se usa para convertir máquinas virtuales existentes en protegidas.VM shielding helper VHD: A specially-prepared virtual hard disk that is used to convert existing VMs to shielded VMs. Debe configurar esta opción si desea blindar las máquinas virtuales existentes.You must configure this setting if you wish to shield existing VMs.
  2. Configurar la nube: si el host protegido se va a incluir en una nube de VMM, hay que permitir que la nube admita máquinas virtuales blindadas.Configure the cloud: If the guarded host will be included in a VMM cloud, you need to enable the cloud to support shielded VMs.

Antes de empezarBefore you start

Asegúrese de que ha implementado y configurado el Servicio de protección de host antes de continuar.Make sure you have deployed and configured the Host Guardian Service before proceeding. Más información sobre cómo configurar HGS en la documentación de Windows Server.Learn more about configuring HGS in the Windows Server documentation.

Asegúrese también de que los hosts que se convertirán en hosts protegidos cumplan los requisitos previos oportunos:Additionally, ensure any hosts which will become guarded hosts meet the guarded host prerequisites:

  • Sistema operativo: los servidores host deben ejecutar Windows Server 2016 Datacenter Edition.Operating system: Host servers must run Windows Server 2016 Datacenter edition. Se recomienda usar Server Core o Nano server para hosts protegidos.It is recommended to use Server Core or Nano Server for guarded hosts.
  • Roles y características: los servidores host deben ejecutar el rol de Hyper-V y la característica Compatibilidad de Hyper-V con protección de host.Role and features: Host servers should be running the Hyper-V role and the Host Guardian Hyper-V Support feature. Compatibilidad de Hyper-V con protección de host permite al host comunicarse con HGS para atestiguar su estado y pedir claves para las máquinas virtuales blindadas.Host Guardian Hyper-V Support lets the host communicate with HGS to attest to its health and request keys for shielded VMs. Si el host ejecuta Nano Server, debe tener instalados los paquetes Compute, SCVMM-Package, SCVMM-Compute, SecureStartup y ShieldedVM.If your host is running Nano Server, it should have the Compute, SCVMM-Package, SCVMM-Compute, SecureStartup, and ShieldedVM packages installed.
  • Atestación de TPM: si su HGS está configurado para usar la atestación de TPM, los servidores de host deben:TPM-attestation: If your HGS is configured to use TPM attestation, the host servers must:
    • Usar UEFI 2.3.1c y un módulo TPM 2.0Use UEFI 2.3.1c and a TPM 2.0 module
    • Arrancar en modo UEFI (ni BIOS ni modo "heredado")Boot in UEFI mode (not BIOS or "legacy" mode)
    • Permitir el arranque seguroEnable Secure Boot
  • Registro de HGS: los hosts de Hyper-V deben estar registrados en HGS.HGS registration: Hyper-V hosts must be registered with HGS. El modo en que se registren dependerá de si HGS usa la atestación AD o TPM.How they’re registered depending on whether HGS is using AD or TPM attestation. Más información.Learn more
  • Migración en vivo: si quiere llevar a cabo una migración en vivo de máquinas virtuales blindadas, será necesario implementar dos o más hosts protegidos.Live migration: If you want to live migrate shielded VMs, you need to deploy two or more guarded hosts.
  • Dominio: los hosts protegidos y el servidor VMM deben estar en el mismo dominio o en dominios con una confianza bidireccional.Domain: Guarded hosts and the VMM server must be in the same domain, or in domains with a two-way trust.

Configuración de valores globalesConfigure global HGS settings

Antes de poder agregar hosts protegidos al tejido de proceso VMM, debe configurar VMM con información sobre el Servicio de protección de host para el tejido.Before you can add guarded hosts to your VMM compute fabric, you must configure VMM with information about the Host Guardian Service for the fabric. El mismo HGS se usará para todos los hosts protegidos administrados por VMM.The same HGS will be used for all guarded hosts managed by VMM.

  1. Obtenga las direcciones URL de atestación y protección de claves para el tejido de su administrador de HGS.Obtain the attestation and key protection URLs for your fabric from your HGS administrator.
  2. En la consola VMM, haga clic en Configuración > Configuración del Servicio de protección de host.In the VMM console, click Settings > Host Guardian Service Settings.
  3. Escriba las direcciones URL de atestación y protección de claves en los campos correspondientes.Enter the attestation and key protection URLs in the respective fields. En este momento, no es necesario configurar las secciones de directivas de integridad de código y aplicación auxiliar de blindaje de máquina virtual VHD.You do not need to configure the code integrity policies and VM shielding helper VHD sections at this time.

    Ventana de configuración global de HGS

  4. Haga clic en Finalizar para guardar la configuración.Click Finish to save the configuration.

Agregar o aprovisionar un nuevo host protegidoAdd or provision a new guarded host

  1. Agregue el host:Add the host:
    • Si desea agregar un servidor existente que ejecuta Windows Server 2016 como un host de Hyper-V protegido, Agregar al tejido.If you want to add an existing server running Windows Server 2016 as a guarded Hyper-V host, add it to the fabric.
    • Si quiere aprovisionar un host de Hyper-V desde un equipo sin sistema operativo, siga estos requisitos previos e instrucciones.If you want to provision a Hyper-V host from a bare-metal computer, follow these prerequisites and instructions. Observe que el host se puede implementar como protegido al aprovisionarlo (Asistente para agregar recursos > Configuración de SO > Configurar como host protegido).Note that you can deploy the host as guarded when you provision it (Add Resource Wizard > OS Settings > Configure as guarded host.
  2. Continúe con la siguiente sección para configurar el host como host protegido.Continue on to the next section to configure the host as a guarded host.

Configuración de un host existente como un host protegidoConfigure an existing host to be a guarded host

Para configurar un host de Hyper-V existente administrado por VMM como un host protegido, realice los pasos siguientes:To configure an existing Hyper-V host managed by VMM to be a guarded host, complete the following steps:

  1. Ponga el host en modo de mantenimiento.Place the host in maintenance mode.
  2. En Todos los hosts, haga clic con el botón derecho en el host > Propiedades > Servicio de protección de host.In All Hosts, right-click the host > Properties > Host Guardian Service.

    Habilitación de un host como host protegido

  3. Seleccione esta opción para habilitar la característica de compatibilidad con Hyper-V de protección del host y configurar el host.Select to enable the Host Guardian Hyper-V Support feature and configure the host. Tenga en cuenta que:Note that:

    • Las direcciones URL de servidor globales de atestación y de protección de claves ya estarán definidas para el host.The global attestation and key protection server URLs will be set on the host.
    • Si modifica estas direcciones URL fuera de la consola VMM, deberá actualizarlas también en VMM o,If you modify these URLs outside the VMM console, you need to update them in VMM too. VMM no colocará máquinas virtuales blindadas en el host hasta que las direcciones URL coincidan de nuevo.If you don't, VMM will not place shielded VMs on the host until the URLs match again. También puede desactivar y volver a activar la casilla "Habilitar" para volver a configurar el host con las direcciones URL configuradas en VMM.You can also uncheck and re-check the "Enable" box to reconfigure the host with the URLs configureed in VMM.
  4. Si usa VMM para administrar directivas de integridad de código, puede habilitar la segunda casilla y seleccionar la directiva adecuada para el sistema.If you're using VMM to manage code integrity policies, you can enable the second checkbox and select the appropriate policy for the system.
  5. Haga clic en Aceptar para actualizar la configuración del host.Click OK to update the host's configuration.
  6. Quite el host del modo de mantenimiento.Take the host out of maintenance mode.

VMM comprueba si el host supera la atestación al agregarlo y cada vez que se actualice su estado.VMM checks that the host passes attestation when you add it, and every time that the host status is refreshed. VMM implementa y migra máquinas virtuales blindadas únicamente en hosts que hayan pasado la atestación.VMM only deploys and migrates shielded VMs on hosts that have passed attestation. Puede consultar el estado de atestación de un host en Propiedades > Estado > General de cliente HGS.You can check the attestation status of a host in Properties > Status > HGS Client Overall.

Permitir hosts protegidos en una nube de VMMEnable guarded hosts on a VMM cloud

Permita que una nube admita hosts protegidos:Enable a cloud to support guarded hosts:

  1. En la consola VMM, haga clic en VM y servicios > Nubes.In the VMM console click VMs and Services > Clouds. Haga clic con el botón derecho en el nombre de la nube > Propiedades.Right-click the cloud name > Properties.
  2. En General > Compatibilidad de VM blindada, seleccione Compatible en esta nube privada.In General > Shielded VM support, select Supported on this private cloud.

Administración e implementación de directivas de integridad de código con VMMManage and deploy code integrity policies with VMM

En tejidos protegidos configurados para usar atestación de TPM, cada host debe configurarse con una directiva de integridad de código en la que confíe el Servicio de protección de host.In guarded fabrics configured to use TPM attestation, each host must be configured with a code integrity policy that is trusted by the Host Guardian Service. Para facilitar la administración de directivas de integridad de código, también puede usar VMM para implementar directivas nuevas o actualizadas en los hosts protegidos.To ease the management of code integrity policies, you can optionally use VMM to deploy new or updated policies to your guarded hosts.

Para implementar una directiva de integridad de código en un host protegido administrado por VMM, realice los pasos siguientes:To deploy a code integrity policy to a guarded host managed by VMM, complete the following steps:

  1. Cree una directiva de integridad de código para cada host de referencia de su entorno.Create a code integrity policy for each reference host in your environment. Necesitará una directiva de CI diferente para cada configuración de hardware y software única de los hosts protegidos.You will need a different CI policy for each unique hardware and software configuration of your guarded hosts.
  2. Almacene las directivas de CI en un recurso compartido de archivos seguro.Store the CI policies in a secure file share. Las cuentas de equipo de cada host protegida requieren acceso de lectura al recurso compartido.The computer accounts for each guarded host require read access to the share. Solo los administradores de confianza deben tener acceso de escritura.Only trusted administrators should have write access.
  3. En la consola VMM, haga clic en Configuración > Configuración del Servicio de protección de host.In the VMM console, click Settings > Host Guardian Service Settings.
  4. En la sección Directivas de integridad de código, haga clic en Agregar y especifique un nombre descriptivo y la ruta de acceso a una directiva de CI.Under the Code Integrity Policies section, click Add and specify a friendly name and the path to a CI policy. Repita este paso para cada directiva de CI única.Repeat this step for each unique CI policy. Asegúrese de nombrar las directivas de manera que le ayuden a identificar qué directiva debe aplicarse a qué hosts.Be sure to name your policies in a manner that will help you identify which policy should be applied to which hosts. Agregar una directiva de integridad de códigoAdd a code integrity policy
  5. Haga clic en Finalizar para guardar la configuración.Click Finish to save the configuration.

Ahora, para cada host protegido, realice los pasos siguientes para aplicar una directiva de integridad de código:Now, for each guarded host, complete the following steps to apply a code integrity policy:

  1. Ponga el host en modo de mantenimiento.Place the host in maintenance mode.
  2. En Todos los hosts, haga clic con el botón derecho en el host > Propiedades > Servicio de protección de host.In All Hosts, right-click the host > Properties > Host Guardian Service.

    Aplicar una directiva de integridad de código

  3. Seleccione esta opción para habilitar la opción para configurar el host con una directiva de integridad de código y luego seleccione la directiva adecuada para el sistema.Select to enable the option to configure the host with a code integrity policy, then select the appropriate policy for the system.

  4. Haga clic en Aceptar para aplicar el cambio de configuración.Click OK to apply the configuration change. Puede que el host se reinicie para aplicar la nueva directiva.The host may restart to apply the new policy.
  5. Quite el host del modo de mantenimiento.Take the host out of maintenance mode.

Advertencia

Asegúrese de seleccionar la directiva de integridad de código correcto para el host.Be sure to select the correct code integrity policy for the host. Si se aplica una directiva que no es compatible con el host, puede que algunas aplicaciones, controladores o componentes del sistema operativo ya no funcionen.If an incompatible policy is applied to the host, some applications, drivers, or operating system components may no longer work.

Si actualiza la directiva de integridad de código en el recurso compartido de archivos y desea actualizar también los hosts protegidos, puede hacerlo mediante los pasos siguientes:If you update the code integrity policy in the file share and wish to also update the guarded hosts, you can do so by completing the following steps:

  1. Ponga el host en modo de mantenimiento.Place the host in maintenance mode.
  2. En Todos los hosts, haga clic con el botón derecho en el host > Aplicar directiva de integridad de código más reciente.In All Hosts, right-click the host > Apply Latest Code Integrity Policy.
  3. Quite el host del modo de mantenimiento.Take the host out of maintenance mode.

Pasos siguientesNext steps