Configuración de un disco y una plantilla de máquina virtual para implementar máquinas virtuales blindadas

Las máquinas virtuales blindadas se implementan en el tejido de proceso de System Center - Virtual Machine Manager (VMM) mediante un disco duro de máquina virtual firmado (VHDX) y, opcionalmente, con una plantilla de máquina virtual. En este artículo se describe cómo agregar discos de plantilla firmados a VMM, configurar un disco de utilidad de blindaje, implementar nuevas máquinas virtuales blindadas y convertir las máquinas virtuales existentes en máquinas virtuales blindadas en VMM.

Antes de empezar

• El disco de plantilla firmada que se utiliza para crear la plantilla de VM blindada debe tener la familia y la versión marcadas.
• La biblioteca de VMM a la que agregar el disco plantilla firmada debe ser accesible a las nubes desde las que se aprovisionarán VM blindadas.
• La biblioteca compartida debe agregarse a las nubes desde las que las VM blindadas se aprovisionarán (no en modo de solo lectura).

Adición de discos de plantilla firmada para máquinas virtuales blindadas a la biblioteca VMM

Se pueden implementar máquinas virtuales blindadas de dos maneras: directamente desde un disco de plantilla firmada o convirtiendo una máquina virtual existente en una máquina virtual blindada.

Los discos de plantilla firmados garantizan a los inquilinos que el contenido del disco no se ha modificado y permiten a los inquilinos transferir de forma segura secretos de implementación, como contraseñas de administrador y certificados a la máquina virtual de forma cifrada. Por este motivo, se prefiere implementar máquinas virtuales blindadas desde discos de plantilla firmados.

Para preparar y agregar un disco de plantilla firmada a la biblioteca VMM, realice los siguientes pasos:

1. Prepare un disco de plantilla firmado en un equipo que ejecute Windows Server 2016 o 2019 con experiencia de escritorio o posterior, o Windows 10 o Windows 11 con las Herramientas de administración remota del servidor instaladas.

2. Copie el disco de plantilla en un recurso compartido de biblioteca (de forma predeterminada \\vmmserver>\MSSCVMMLibrary\VHD) y actualice el servidor de biblioteca.

3. Para proporcionar a VMM información sobre el sistema operativo en el disco de plantilla, en Biblioteca, haga clic con el botón derecho en el disco Propiedades.

4. En Sistema operativo, seleccione el sistema operativo instalado en el disco. Esto indica a VMM que el VHDX no está vacío. El icono de escudo junto al nombre del disco indica que es un disco de plantilla firmado para máquinas virtuales blindadas. Proporcione la información sobre la familia y la versión del disco, así como para que los recursos estén disponibles en el portal de autoservicio de Azure Pack del inquilino (opcional).

   

5. Seleccione Aceptar para guardar las propiedades del disco de plantilla firmado.

Creación de una plantilla de máquina virtual blindada

Opcionalmente, puede crear una plantilla de máquina virtual blindada con un disco de plantilla firmada. Las plantillas de máquina virtual definen recursos de máquina virtual, como recuento de CPU, RAM y redes para un disco de SO.

Las plantillas de máquinas virtuales blindadas varían ligeramente de las plantillas de máquina virtual normales. Algunas configuraciones son fijas; por ejemplo, la máquina virtual debe ser una máquina virtual de generación 2 con arranque seguro habilitado. Cree la plantilla de máquina virtual de la manera siguiente:

1. Seleccione Biblioteca>Crear plantilla de máquina virtual. En Seleccionar origen, seleccione Usar una plantilla de máquina virtual existente o un disco duro virtual almacenado en la biblioteca >Examinar.
2. Seleccione el disco de plantilla firmado, especifique un nombre de plantilla y una descripción opcional y seleccione Aceptar.
3. En Configurar hardware, especifique las propiedades de hardware de las máquinas virtuales que cree a partir de la plantilla. Asegúrese de que haya al menos una NIC configurada y disponible. Los inquilinos conectan con máquinas virtuales blindadas a través de Conexión a Escritorio remoto, Administración remota de Windows u otras herramientas de administración remota que requieren redes.
4. Si quiere usar direccionamiento IP estático en el grupo de inquilinos, debe hacérselo saber a sus inquilinos. Los inquilinos deben proporcionar un archivo de respuesta con valores, que especializan una máquina virtual blindada para ellos. Hay valores de marcador de posición conocidos especiales que son necesarios para admitir grupos de direcciones IP estáticas.
5. En Configurar sistema operativo, especifique la versión del sistema operativo, el nombre del equipo, la clave de producto y la zona horaria. El inquilino proporciona información segura, como la contraseña de administrador en un archivo de datos de blindaje (. PDK), que proporcionarán al aprovisionar una nueva máquina virtual. Si especifica una clave de producto, asegúrese de que es válida para el sistema operativo en el disco de plantilla. Si no es así, la máquina virtual no se aprovisiona correctamente. Una vez creada la plantilla de máquina virtual, asegúrese de que está disponible para el rol de usuario Administrador de inquilinos. Los inquilinos pueden entonces usarla para proporcionar nuevas máquinas virtuales.

Configuración del asistente de blindaje VHD

Las máquinas virtuales Windows existentes también se pueden convertir en máquinas virtuales blindadas con el uso de un VHD auxiliar de blindaje. El asistente de VHD es un disco especial preparado con herramientas para cifrar la unidad del sistema operativo de otra VM. VMM debe configurarse con un VHD auxiliar para poder blindar las máquinas virtuales existentes.

1. Prepare un asistente de VHD en un equipo que ejecute Windows Server 2016 o Windows 10 que tenga instaladas las Herramientas de administración remota del servidor.
2. Copie el asistente VHD en un recurso compartido de biblioteca y actualice el servidor de biblioteca.
3. En la consola VMM, seleccione Configuración configuración>del servicio de protección de host.
4. En la sección VHD del asistente de blindaje, seleccione Examinar y seleccione el VHD auxiliar en la lista de archivos de los recursos compartidos de biblioteca.
5. Seleccione Finalizar para guardar la configuración.

Con el asistente de blindaje VHD configurada, puede pasar a blindar una máquina virtual existente.

Pasos siguientes

Revise Aprovisionar máquinas virtuales blindadas para obtener información sobre cómo implementar máquinas virtuales blindadas en el tejido de proceso de VMM.