Configuración de un disco y una plantilla de VM para implementar máquinas virtuales blindadasSet up a disks and a VM template to deploy shielded VMs

Implementará máquinas virtuales blindadas en el tejido de proceso de Virtual Machine Manager (VMM) de System Center mediante un disco duro de máquina virtual (VHDX) firmado, y opcionalmente con una plantilla de máquina virtual.You deploy shielded virtual machines in the System Center - Virtual Machine Manager (VMM) compute fabric using a signed virtual machine hard disk (VHDX), and optionally with a VM template. En este artículo se describe cómo agregar discos de plantilla firmada a VMM, configurar un disco de utilidad de blindaje, implementar nuevas máquinas virtuales blindadas y convertir máquinas virtuales existentes en blindadas en VMM.This article describes how to add signed template disks to VMM, configure a shielding utility disk, deploy new shielded VMs and convert existing VMs to shielded VMs in VMM.

Antes de empezarBefore you start

  • El disco de plantilla firmada que se utiliza para crear la plantilla de VM blindada debe tener la familia y la versión marcadas.The signed template disk used to create the shielded VM template must have the family and version marked.
  • La biblioteca de VMM a la que agregar el disco plantilla firmada debe ser accesible a las nubes desde las que se aprovisionarán VM blindadas.The VMM library to which you add the signed template disk must be accessible to clouds from which shielded VMs will be provisioned.
  • La biblioteca compartida debe agregarse a las nubes desde las que las VM blindadas se aprovisionarán (no en modo de solo lectura).The library shared should be added to clouds from which shielded VMs will be provisioned (not in read-only mode).

Adición de discos de plantilla firmada para máquinas virtuales blindadas a la biblioteca VMMAdding signed template disks for shielded VMs to the VMM library

Se pueden implementar máquinas virtuales blindadas de dos maneras: directamente desde un disco de plantilla firmada o convirtiendo una máquina virtual existente en una máquina virtual blindada.Shielded VMs can be deployed in two ways: by deploying directly from a signed template disk or by converting an existing VM to a shielded VM. Los discos de plantilla firmada garantizan a los inquilinos que el contenido del disco no se ha modificado y les permite transferir de forma segura secretos de implementación, como contraseñas de administrador y certificados a la máquina virtual de forma cifrada.Signed template disks assure tenants that the disk contents have not been modified and enable tenants to securely transfer deployment secrets like administrator passwords and certificates to the VM in an encrypted manner. Por esta razón, es preferible implementar máquinas virtuales blindadas desde discos de plantilla firmada.For this reason, it is preferred to deploy shielded VMs from signed template disks.

Para preparar y agregar un disco de plantilla firmada a la biblioteca VMM, realice los siguientes pasos:To prepare and add a signed template disk to the VMM library, complete the following steps:

  1. Prepare un disco de plantilla firmada en una máquina donde se ejecute Windows Server 2016 con Experiencia de escritorio o Windows 10 que tenga instaladas las Herramientas de administración remota del servidor.Prepare a signed template disk on a machine running Windows Server 2016 with Desktop Experience, or Windows 10 with the Remote Server Administration Tools installed.
  2. Copie el disco de plantilla en un recurso compartido de biblioteca (\\<vmmserver>\MSSCVMMLibrary\VHD de forma predeterminada) y actualice el servidor de biblioteca.Copy the template disk to a library share (\\<vmmserver>\MSSCVMMLibrary\VHDs by default), and refresh the library server.
  3. Para proporcionar a VMM información sobre el sistema operativo en el disco de plantilla, en Biblioteca, haga clic con el botón derecho en el disco > Propiedades.To provide VMM with information about the operating system on the template disk, in Library, right-click the disk > Properties.
  4. En Sistema operativo, seleccione el sistema operativo instalado en el disco.In Operating system, select the operating system installed on the disk. Esto indica a VMM que el VHDX no está vacío.This indicates to VMM that the VHDX isn't blank. El icono de escudo junto al nombre del disco indica que es un disco de plantilla firmado para máquinas virtuales blindadas.The shield icon next to the disk name denotes it as a signed template disk for shielded VMs. Proporcione información sobre la familia y versión del disco, así como para que los recursos estén disponibles en el Portal de autoservicio de Azure Pack del inquilino (opcional).Supply information about the Family and Release of the disk as well to make the resources available in the tenant Azure Pack self-service portal (optional).

    Ventana de propiedades del disco para el disco de plantilla firmada

  5. Haga clic en Aceptar para guardar las propiedades del disco plantilla firmada.Click OK to save the properties of the signed template disk.

Creación de una plantilla de máquina virtual blindadaCreate a shielded VM template

Opcionalmente, puede crear una plantilla de máquina virtual blindada con un disco de plantilla firmada.You can optionally create a shielded VM template using a signed template disk. Las plantillas de máquina virtual definen recursos de máquina virtual, como recuento de CPU, RAM y redes para un disco de SO.VM templates define virtual machine resources such as CPU count, RAM, and networking for an OS disk.

Las plantillas de máquinas virtuales blindadas varían ligeramente de las plantillas de máquina virtual normales.Templates for shielded VMs vary slightly from a regular VM template. Algunos valores de configuración se corrigen; por ejemplo, la máquina virtual debe ser de segunda generación y tener habilitado el arranque seguro.Some settings are fixed – for example the VM must be a Generation 2 VM with Secure Boot enabled. Cree la plantilla de máquina virtual de la manera siguiente:Create the VM template as follows:

  1. Haga clic en Biblioteca > Crear plantilla de VM.Click Library > Create VM Template. En Seleccionar origen, haga clic en Usar una plantilla de VM o un disco duro virtual existentes almacenados en la biblioteca > Examinar.In Select Source, click Use an existing VM template or a virtual hard disk stored in the library > Browse.
  2. Seleccione el disco de plantilla firmado, especifique un nombre de plantilla y una descripción opcional y haga clic en Aceptar.Select the signed template disk, specify a template name and optional description, and click OK.
  3. En Configurar hardware, especifique las propiedades de hardware de las máquinas virtuales creadas a partir de la plantilla.In Configure Hardware, specify the hardware properties for VMs you create from the template. Asegúrese de que haya al menos una NIC configurada y disponible.Make sure there's at least one NIC configured and available. Los inquilinos conectan con máquinas virtuales blindadas a través de Conexión a Escritorio remoto, Administración remota de Windows u otras herramientas de administración remota que requieren redes.Tenants connect to shielded VMs over Remote Desktop Connection, Windows Remote Management, or other remote management tools that require networking.
  4. Si quiere usar direccionamiento IP estático en el grupo de inquilinos, debe hacérselo saber a sus inquilinos.If you want to use static IP addressing in the tenant pool, you need to let your tenants know. Los inquilinos deben proporcionar un archivo de respuesta con valores que especialicen una máquina virtual blindada para ellos.Tenants need to provide an answer file with values that specializes a shielded VM for them. Hay valores de marcador de posición conocidos especiales que son necesarios para admitir grupos de direcciones IP estáticas.There are special, well-known placeholder values required to support static IP pools.
  5. En Configurar sistema operativo, especifique la versión del sistema operativo, el nombre del equipo, la clave de producto y la zona horaria.In Configure Operating System, specify the OS version, computer name, product key and time zone. El inquilino proporciona información segura, como la contraseña de administrador en un archivo de datos de blindaje (. PDK) al aprovisionar una nueva máquina virtual.The tenant provides secure information such as the administrator password in a shielding data file (.PDK) that they'll provide when provisioning a new VM. Si especifica una clave de producto, asegúrese de que sea válida para el sistema operativo en el disco de plantilla.If you specify a product key make sure it's valid for the operating system on the template disk. En caso contrario, la máquina virtual no aprovisionará correctamente.If it isn't, the VM will not provision successfully. Después de crea la plantilla de máquina virtual, asegúrese de que está disponible para el rol de usuario Administrador de inquilinos.After the VM template is created, make sure that it's available to the Tenant Administrator user role. Los inquilinos pueden entonces usarla para proporcionar nuevas máquinas virtuales.Tenants can then use it to provision new VMs.

Configuración de la aplicación auxiliar de blindaje VHDConfigure the shielding helper VHD

También se pueden convertir máquinas virtuales de Windows existentes en blindadas con el uso de una aplicación auxiliar de blindaje VHD.Existing Windows VMs can also be converted to shielded VMs with the use of a shielding helper VHD. La aplicación auxiliar VHD es un disco especial preparado con herramientas para cifrar la unidad del sistema operativo de otra VM.The helper VHD is a special disk prepared with tools to encrypt another VM's operating system drive. La VMM se debe configurar con una aplicación auxiliar VHD antes de poder blindar las máquinas virtuales existentes.VMM must be configured with a helper VHD before you can shield existing VMs.

  1. Prepare una aplicación auxiliar VHD en un equipo que ejecute Windows Server 2016 o Windows 10 que tenga instaladas las Herramientas de administración remota del servidor.Prepare a helper VHD on a computer running Windows Server 2016 or Windows 10 with the Remote Server Administration Tools installed.
  2. Copie la aplicación auxiliar VHD en un recurso compartido de biblioteca y actualice el servidor de biblioteca.Copy the helper VHD to a library share, and refresh the library server.
  3. En la consola VMM, haga clic en Configuración > Configuración del Servicio de protección de host.In the VMM console, click Settings > Host Guardian Service Settings.
  4. En la sección Aplicación auxiliar de blindaje VHD, haga clic en Examinar y seleccione la aplicación auxiliar VHD de la lista de archivos de los recursos compartidos de biblioteca.In the Shielding Helper VHD section, click Browse and select the helper VHD from the list of files in the library shares.
  5. Haga clic en Finalizar para guardar la configuración.Click Finish to save the configuration.

Con la aplicación auxiliar de blindaje VHD configurada, puede pasar a blindar una máquina virtual existente.With the shielding helper VHD configured, you can proceed to shield an existing VM.

Pasos siguientesNext steps

Revise Aprovisionar máquinas virtuales blindadas para obtener información sobre cómo implementar máquinas virtuales blindadas en el tejido de proceso de VMM.Review Provision shielded VMs to understand how to deploy shielded virtual machines in a VMM compute fabric.