Aprovisionar máquinas virtuales blindadas en el tejido de VMMProvision shielded virtual machines in the VMM fabric

Se aplica a: System Center 2016 - Virtual Machine ManagerApplies To: System Center 2016 - Virtual Machine Manager

En este artículo se describe cómo implementar máquinas virtuales blindadas en el tejido de proceso de System Center 2016 - Virtual Machine Manager (VMM).This article describes how to deploy shielded virtual machines in the System Center 2016 - Virtual Machine Manager (VMM) compute fabric.

Puede implementar máquinas virtuales blindadas en VMM de dos maneras:You can deploy shielded VMs in VMM in a couple of ways:

  • Conversión de una máquina virtual existente en una blindadaConvert an existing VM into a shielded VM
  • Cree una nueva máquina virtual blindada mediante un disco duro de máquina virtual (VHDX) firmado o una plantilla de máquina virtual.Create a new shielded VM using a signed virtual machine hard disk (VHDX), and optionally a VM template.

Antes de empezarBefore you start

Vea un vídeo que proporciona información general rápida (2 minutos) sobre el aprovisionamiento de máquinas virtuales blindadas en VMM.Watch a video that provides a quick, two-minute overview of provisioning shielded VMs in VMM. A continuación, asegúrese de que hacer lo siguiente:Then, make sure you've done the following:

  1. Preparar un servidor HGS: debe tener un servidor HGS implementado.Prepare an HGS server: You should have an HGS server deployed. Obtenga más información.Learn more.
  2. Configurar VMM: necesitará configurar los valores globales de HGS en VMM, y configurar al menos un host protegido.Set up VMM: You need to configure global HGS settings in VMM, and set up at least one guarded host. Si los hosts protegidos pertenecen a una nube, esta debe habilitarse para admitir las máquinas virtuales blindadas.If guarded hosts belong to a cloud, the cloud should be enabled to support shielded VMs. Obtenga más información.Learn more.
  3. Preparar un VHDX blindado y una plantilla de máquina virtual: implementará máquinas virtuales blindadas a partir de un disco duro virtual (VHDX) blindado y, opcionalmente, mediante una plantilla.Prepare a shielded VHDX and VM template: You deploy shielded VMs from a shielded virtual hard disk (VHDX), optionally using a VM template. Más información sobre cómo prepararlos.Learn more about preparing these.
  4. Preparar archivos de datos blindados: para usar los discos de plantilla firmados de la biblioteca VMM, los inquilinos deben preparar uno o más archivos de datos de blindaje.Prepare shielding data files: To use the signed template disks in the VMM library, tenants must prepare one or more shielding data files. Este archivo contiene todos los secretos que necesita un inquilino para implementar una máquina virtual, incluido el archivo desatendido que se ha usado para especializar la máquina virtual, los certificados y las contraseñas de la cuenta de administrador.This file contains all the secrets that a tenant needs to deploy a VM, including the unattend file used to specialize the VM, certificates, administrator account passwords. El archivo también especifica el tejido protegido en el que confía el inquilino para hospedar su máquina virtual, e información sobre los discos de plantilla firmados.The file also specifies which guarded fabric a tenant trusts to host their VM and information about the signed template disks. El archivo está cifrado y solo puede leerse con un host en un tejido protegido de confianza para el inquilino.The file is encrypted and can only be read by a host in a guarded fabric trusted by the tenant. Obtenga más información.Learn more.
  5. Configurar un grupo host: para una administración sencilla, se recomienda colocar los hots protegidos en un grupo host de VMM dedicado.Set up host group: For easy management, we recommend that guarded hosts be placed in a dedicated VMM host group.
  6. Comprobar los requisitos de máquina virtual existentes: si quiere convertir una máquina virtual existente en una blindada, tenga en cuenta lo siguiente:Verify existing VM requirements: If you want to convert an existing VM to shielded, note the following:
    • La máquina virtual debe ser de segunda generación y tener habilitada la plantilla de arranque seguro de Microsoft Windows.The VM must be generation 2 and have the Microsoft Windows Secure Boot template enabled
    • El sistema operativo del disco debe ser:The operating system on the disk must be one of:
    • Windows Server 2016, Windows Server 2012 R2, Windows Server 2012Windows Server 2016, Windows Server 2012 R2, Windows Server 2012
    • Windows 10, Windows 8.1, Windows 8Windows 10, Windows 8.1, Windows 8
    • El disco del sistema operativo para la máquina virtual debe usar la tabla de particiones GUID.The OS disk for the VM must use GUID Partition Table. Esto es necesario para que las máquinas virtuales de generación 2 admitan UEFI.This is required for generation 2 VMs to support UEFI.
  7. Configurar la aplicación auxiliar de VHD: el proveedor de servicios de hospedaje necesitará crear una máquina virtual que actúe como una aplicación auxiliar de VHD para convertir máquinas existentes.Set up helper VHD: The hosting service provider will need to create a VM that acts as a helper VHD for converting existing machines. Obtenga más información.Learn more.

Adición de archivos de datos de blindaje a VMMAdding shielding data files to VMM

Antes de convertir una máquina virtual existente en una máquina virtual blindada, o de aprovisionar una nueva máquina virtual blindada desde una plantilla, el propietario de la máquina virtual debe generar un archivo de datos de blindaje y agregarlo a VMM.Before you can convert an existing VM to a shielded VM or provision a new shielded VM from a template, the VM owner must generate a shielding data file and add it to VMM.

Si no dispone de un archivo de datos de blindaje importado, realice los pasos siguientes:If you do not already have a shielding data file imported, complete the following steps:

  1. Cree un archivo de datos de blindaje si aún no tiene uno.Create a shielding data file if you don't already have one. Asegúrese de que el archivo de datos de blindaje autoriza al tejido de hospedaje que administra VMM a ejecutar las máquinas virtuales blindadas.Make sure the shielding data file authorizes the hosting fabric VMM manages to run your shielded VMs.
  2. En la consola VMM, haga clic en Biblioteca > Importar datos de blindaje > Examinar y seleccione el archivo de datos de blindaje.In the VMM console, click Library > Import Shielding Data > Browse and select your shielding data file.
  3. Especifique un nombre descriptivo para el archivo de datos de blindaje en Nombre y, opcionalmente, agregue una descripción.Specify a friendly name for the shielding data file in Name and optionally add a description. Se recomienda que indique si el archivo de datos de blindaje se puede usar con máquinas virtuales nuevas o existentes en su nombre para que sea más fácil encontrarlo de nuevo.It is recommended that you indicate whether the shielding data file is intended for use with existing or new VMs in its name to make it easier to find again.
  4. Haga clic en Importar para guardar los datos de blindaje en VMM.Click Import to save the shielding data in VMM.

Para administrar los archivos de datos de blindaje importados, vaya a Biblioteca > Datos de blindaje de VM (en "Perfiles").To manage your imported shielding data files, go to Library > VM Shielding Data (under "Profiles").

Aprovisionar una nueva máquina virtual blindadaProvision a new shielded VM

  1. Asegúrese de que tiene todos los requisitos previos antes de empezar.Make sure you have all the prerequisites in place before you start.
  2. En VM y servicios, haga clic en Crear máquina virtual para abrir el Asistente para crear máquinas virtuales.In VMs and Services, click Create Virtual Machine to open the Create Virtual Machine Wizard.
  3. En Seleccionar origen, haga clic en Usar una máquina virtual, una plantilla de VM o un disco duro virtual existentes > Examinar.In Select Source, click Use an existing virtual machine, VM template, or virtual hard disk > Browse.
  4. Seleccione una plantilla de máquina virtual blindada o un disco de plantilla firmada.Select a shielded VM template or signed template disk. Ambos se identifican mediante el icono de escudo.Both are identified by the shield icon Icono de escudo en VMM..
  5. En Seleccionar archivo de datos de blindaje, haga clic en Examinar y seleccione un archivo de datos de blindaje.In Select Shielding Data File, click Browse and select a shielding data file. Se mostrarán solo los archivos de datos de blindaje que pueden usarse para crear una nueva máquina virtual blindada.Only shielding data files that can be used to create a new shielded VM will be shown. Haga clic en Aceptar > Siguiente para continuar.Click OK > Next to continue.
  6. Siga estas instrucciones para completar el asistente y para implementar la máquina virtual en un host o nube.Follow these instructions to complete the wizard, and to deploy the VM on a host/cloud.

Cuando complete el asistente, VMM crea una nueva máquina virtual blindada desde el disco o la plantilla:When you complete the wizard, VMM creates a new shielded VM from the disk or template:

  1. El archivo de disco de plantilla (VHDX) se copia desde la biblioteca VMMThe template disk (VHDX) file is copied from the VMM library
  2. El aprovisionamiento de la máquina virtual descifra los datos del archivo de datos de blindaje, completa cualquier cadena de sustitución del archivo .xml desatendido y copia archivos adicionales desde el archivo de datos de blindaje a la unidad del sistema operativo (por ejemplo, el certificado RDP).VM provisioning decrypts the data in the shielding data file, completes any substitution strings in the unattend.xml file, and copies additional files from the shielding data file to the operating system drive (for example, the RDP certificate).
  3. La máquina virtual se reinicia, se personaliza y se vuelve a cifrar con BitLocker.The VM restarts, is customized, and re-encrypted with BitLocker. La clave de cifrado de volumen completo de BitLocker se almacena en el TMP virtual de la nueva máquina virtual.The BitLocker full volume encryption key is stored in the virtual TPM of the new VM.
  4. La personalización de la máquina virtual se completa cuando se ejecuta el comando shutdown en el archivo .xml desatendido; la máquina virtual permanece apagada.VM customization is complete when the shutdown command in the unattend.xml file runs, the VM remains switched off. Si se bloquea la personalización, compruebe el archivo unattend.xml mediante su ejecución en una máquina virtual no blindada, o mediante un archivo de datos de blindaje compatible con cifrado que permita el acceso a la consola.If customization gets stuck, check the unattend.xml file by running it on an unshielded VM, or using an encryption-supported shielding data file that allows console access.
  5. Después de que VMM detecta que la especialización ha finalizado, actualiza su estado para indicar que la máquina virtual se ha creado y, si se selecciona, se inicia la máquina virtual.After VMM detects that specialization has finished, it will update its status to indicate the VM is created and, if selected, start up the VM.

Blindaje de una máquina virtual existenteShield an existing VM

Puede habilitar el blindaje de una máquina virtual que se está ejecutando en estos momentos en un host en el tejido de VMM que no está protegido.You can enable shielding for a VM currently running on a host in the VMM fabric that isn't guarded.

  1. Asegúrese de que dispone de todos los requisitos previos antes de empezar.Ensure you have all the prerequisites in place before you start.
  2. Deje sin conexión la máquina virtual.Take the VM offline.
  3. Se recomienda que habilite BitLocker en todos los discos conectados a la máquina virtual antes de moverla al host protegido.We recommend that you enable BitLocker on all disks attached to the VM before moving it to the guarded host.
  4. Seleccione la máquina virtual > Propiedades > Blindar y seleccione un archivo de datos de blindaje.Select the VM > Properties > Shield, and select a shielding data file.
  5. Apague la máquina virtual, expórtela desde el host no protegido e impórtela a un host protegido.Shut down the VM, export from non-guarded host, and import it to a guarded host. Solo un host protegido puede tener acceso a los datos de la máquina virtual.Only a guarded host can access the VM data.

Pasos siguientesNext steps

Vea Administrar la configuración de la máquina virtual para obtener información sobre cómo configurar opciones de rendimiento y disponibilidad para máquinas virtuales.Review Manage virtual machine settings to learn how to configure performance and availability settings for VMs.