Védett gazdagépek telepítése a VMM-ben

  • Cikk

Fontos

A Virtual Machine Manager (VMM) ezen verziója elérte a támogatás végét. Javasoljuk, hogy frissítsen a VMM 2022-re.

Ez a cikk azt ismerteti, hogyan helyezhet üzembe védett Hyper-V-gazdagépeket a System Center – Virtual Machine Manager (VMM) számítási hálóban. További információk a védett hálókról.

A védett Hyper-V-gazdagépek többféleképpen is beállíthatók a VMM-hálóban.

  • Meglévő gazdagép beállítása védett gazdagépként: Beállíthat egy meglévő gazdagépet a védett virtuális gépek futtatásához.
  • Új védett gazdagép hozzáadása vagy üzembe helyezése: Ez az alábbiak egyike lehet:
    • Egy létező Windows Server-számítógép (a Hyper-V szerepkörrel vagy anélkül)
    • Egy operációs rendszer nélküli számítógép

A védett gazdagépeket a VMM-hálóban a következőképpen állíthatja be:

  1. Globális HGS-beállítások konfigurálása: A VMM az összes védett gazdagépet ugyanahhoz a HGS-kiszolgálóhoz csatlakoztatja, hogy migrálni lehessen a védett virtuális gépeket a gazdagépek között. Megadhatja az összes védett gazdagépre vonatkozó globális HGS-beállításokat, és megadhatja azokat a gazdagépspecifikus beállításokat, amelyek felülbírálják a globális beállításokat. A beállítások a következők:

    • Igazolási URL-cím: Az URL-cím, amellyel a gazdagép csatlakozik a HGS igazolószolgáltatáshoz. Ez a szolgáltatás engedélyezi a gazdagép számára a védett virtuális gépek futtatását.
    • Kulcsvédelmi kiszolgáló URL-címe: Az URL-cím, amellyel a gazdagép lekéri a virtuális gépek titkosításának feloldásához szükséges kulcsokat. A kulcsok lekéréséhez a gazdagépnek meg kell felelnie az igazoláson.
    • Kódintegritási szabályzatok: A kódintegritási szabályzat megszabja, hogy milyen szoftver futhat a védett gazdagépen. Ha a HGS úgy van beállítva, hogy TPM-igazolást használjon, akkor a védett gazdagépeket úgy kell beállítani, hogy a HGS-kiszolgáló által engedélyezett kódintegritási szabályzatot használjanak. Megadhatja a kódintegritási szabályzatok helyét a VMM-ben, és üzembe helyezheti őket a gazdagépeken. Ez nem kötelező, és nem szükséges a védett hálók kezeléséhez.
    • VM shielding helper VHD: Egy speciálisan előkészített virtuális merevlemez, amellyel a meglévő virtuális gépeket védett virtuális gépekké alakíthatja. Ezt a beállítást konfigurálnia kell, ha védeni szeretné a meglévő virtuális gépeket.

  2. A felhő konfigurálása: Ha a védett gazdagép egy VMM-felhő része lesz, akkor engedélyeznie kell a felhő számára a védett virtuális gépek támogatását.

Előkészületek

A folytatás előtt győződjön meg arról, hogy üzembe helyezte és konfigurálta a Gazdagépőr szolgáltatást. További információt a HGS konfigurációjáról a Windows Server dokumentációjában talál.

Emellett győződjön meg arról, hogy a védett gazdagépekké váló gazdagépek megfelelnek a védett gazdagép előfeltételeinek:

  • Operációs rendszer: A gazdagépkiszolgálóknak Windows Server Datacentert kell futtatniuk. Ajánlott a Server Core használata védett gazdagépekhez.
  • Szerepkörök és szolgáltatások: A gazdakiszolgálók a Hyper-V szerepkört és a gazdagépőr szolgáltatás Hyper-V támogatási funkcióját futtatják. A gazdagépőr Hyper-V támogatása segítségével a gazdagép kommunikálni tud a HGS-sel, hogy igazolja az állapotát, és kulcsokat igényeljen a védett virtuális gépekhez. Ha a gazdagép Nano Server-t futtat, akkor rendelkeznie kell a Compute, SCVMM-Package, SCVMM-Compute, SecureStartup, és a ShieldedVM csomagokkal.
  • TPM-igazolás: Ha a HGS úgy van beállítva, hogy TPM-igazolást használjon, akkor a következőkre van szüksége a gazdakiszolgálóknak:
    • Az UEFI 2.3.1c és a TPM 2.0 modul használata
    • Rendszerindítás UEFI módban (nem BIOS vagy „örökölt” módban)
    • Biztonságos rendszerindítás engedélyezése
  • HGS-regisztráció: A Hyper-V-gazdagépeknek regisztrálva kell lenniük a HGS-ben. A regisztráció módjától függ, hogy a HGS AD-t vagy TPM-igazolást használ-e. További információ
  • Élő áttelepítés: Ha a védett virtuális gépek élő áttelepítését szeretné elvégezni, üzembe kell helyeznie két vagy több védett gazdagépet.
  • Tartomány: A védett gazdagépeknek és a VMM-kiszolgálónak ugyanabban a tartományban vagy kétirányú megbízhatósági kapcsolattal rendelkező tartományokban kell lennie.

Globális HGS-beállítások konfigurálása

Mielőtt védett gazdagépeket vehet fel a VMM számítási hálóba, konfigurálnia kell a VMM-et a háló gazdagépőr-szolgáltatásával (HGS) kapcsolatos információkkal. Minden VMM által kezelt védett gazdagép esetén ugyanaz a HGS lesz használatban.

  1. A HGS-rendszergazdától szerezze be a háló igazolási és kulcsvédelmi kiszolgálóinak URL-címeit.

  2. A VMM-konzolon válassza a Beállítások>Gazdagépőr szolgáltatás beállításai lehetőséget.

  3. Adja meg az igazolási és a kulcsvédelmi URL-címet a megfelelő mezőben. Jelenleg nem kell konfigurálnia a kódintegritási szabályzatokat és a virtuálisgép-védelmi segéd VHD-szakaszait.

    Képernyőkép a globális HGS-beállítások ablakáról.

  4. A konfiguráció mentéséhez válassza a Befejezés lehetőséget.

Új védett gazdagép hozzáadása vagy üzembe helyezése

  1. Adja hozzá a gazdagépet:
  2. A következő szakaszban beállíthatja a gazdagépet védett gazdagépként.

Meglévő gazdagép beállítása védett gazdagépként

A VMM által kezelt meglévő Hyper-V gazdagép védett gazdagépként való beállításához hajtsa végre a következő lépéseket:

  1. Helyezze a gazdagépet karbantartási módba.

  2. A Minden gazdagép területen kattintson a jobb gombbal a gazdagép >tulajdonságok>gazdagépőr-szolgáltatására.

    Képernyőkép: Gazdagép engedélyezése védett gazdagépként.

  3. Válassza ki a Gazdagépőr Hyper-támogatási funkciójának engedélyezését, és konfigurálja a gazdagépet.

    Megjegyzés

    • A globális igazolási és kulcsvédelmi kiszolgáló URL-címe be lesz állítva a gazdagépen.
    • Ha ezeket az URL-címeket a VMM-konzolon kívül módosítja, akkor a VMM-ben is frissítenie kell azokat. Ha nem teszi meg, a VMM nem helyezi el a védett virtuális gépeket a gazdagépen, amíg az URL-címek újra meg nem egyeznek. A VMM-ben konfigurált URL-címekkel a gazdagép újrakonfigurálásához törölje a jelölést, majd jelölje be újra az "Engedélyezés" jelölőnégyzetet.

  4. Ha a VMM-et használja a kódintegritási szabályzatok kezeléséhez, akkor engedélyezze a második jelölőnégyzetet, és jelölje ki a rendszernek megfelelő szabályzatot.

  5. Válassza az OK gombot a gazdagép konfigurációjának frissítéséhez.

  6. Állítsa le a karbantartási módot a gazdagép esetében.

A VMM ellenőrzi, hogy a gazdagép átadja-e az igazolást, amikor hozzáadja, és minden alkalommal, amikor a gazdagép állapota frissül. A VMM kizárólag az olyan gazdagépeken található védett virtuális gépeket helyezi üzembe és telepíti át, amelyek megfeleltek az igazoláson. A gazdagép igazolási állapotát a Tulajdonságok>állapota>HGS-ügyfél általános elemében ellenőrizheti.

Védett gazdagépek engedélyezése VMM-felhőben

A védett gazdagépek támogatásának engedélyezése a felhőben:

  1. A VMM-konzolon válassza a Virtuális gépek és szolgáltatások>felhők lehetőséget. Kattintson a jobb gombbal a felhő nevére >Tulajdonságok elemre.
  2. Az Általános>védett virtuális gépek támogatása területen válassza a Támogatott lehetőséget ezen a magánfelhőn.

Kódintegritási szabályzatok kezelése és üzembe helyezése a VMM-el

TPM-igazolás használatára beállított védett hálókban minden gazdagépet olyan kódintegritási szabályzattal kell beállítani, amelyet a gazdagépőr szolgáltatás megbízhatónak ítél. A kódintegritási szabályzatok kezelésének megkönnyítése érdekében használhatja a VMM-et is új vagy frissített szabályzatok üzembe helyezéséhez a védett gazdagépeken.

A kódintegritási szabályzat VMM által kezelt védett gazdagépeken való üzembe helyezéséhez, hajtsa végre a következő lépéseket:

  1. Hozzon létre egy kódintegritási szabályzatot a környezetben lévő minden egyes hivatkozott gazdagép számára. A védett gazdagépek minden egyedi hardver- és szoftverkonfigurációjához más CI-szabályzatra lesz szüksége.
  2. Tárolja a CI-szabályzatokat egy biztonságos fájlmegosztásban. Minden védett gazdagép esetében a számítógépfiókoknak olvasási jogosultsággal kell rendelkezniük a megosztáson. Kizárólag megbízható rendszergazdák rendelkezhetnek írási jogosultsággal.
  3. A VMM-konzolon válassza a Beállítások>Gazdagépőr szolgáltatás beállításai lehetőséget.
  4. A Kódintegritási szabályzatok szakaszban válassza a Hozzáadás lehetőséget, és adjon meg egy rövid nevet és egy CI-szabályzat elérési útját. Ezt a lépést minden egyedi CI-szabályzat esetén ismételje meg. Ügyeljen arra, hogy a szabályzatokat olyan módon nevezze el, amely segít meghatározni, hogy melyik házirendet melyik gazdagépre kell alkalmazni. Képernyőkép: Kódintegritási szabályzat hozzáadása.
  5. A konfiguráció mentéséhez válassza a Befejezés lehetőséget.

A kódintegritási szabályzat alkalmazásához végezze el a következő lépéseket minden egyes védett gazdagép esetén:

  1. Helyezze a gazdagépet karbantartási módba.

  2. A Minden gazdagép területen kattintson a jobb gombbal a gazdagép >tulajdonságok>gazdagépőr-szolgáltatására.

    Képernyőkép a kódintegritási szabályzat alkalmazásáról.

  3. Válassza ki a gazdagép kódintegritási szabályzattal való konfigurálását engedélyező beállítást, majd válassza ki a rendszernek megfelelő szabályzatot.

  4. Válassza az OK gombot a konfigurációmódosítás alkalmazásához. A gazdagép újraindulhat az új szabályzat alkalmazásának érdekében.

  5. Állítsa le a karbantartási módot a gazdagép esetében.

Figyelmeztetés

Győződjön meg arról, hogy a megfelelő kódintegritási szabályzatot választja ki a gazdagéphez. Ha inkompatibilis szabályzatot alkalmaz a gazdagépen, bizonyos alkalmazások, illesztőprogramok, vagy az operációs rendszer összetevői nem fognak működni.

Ha frissíti a kódintegritási szabályzatot a fájlmegosztóban, és szeretné a védett gazdagépeket is frissíteni, akkor a következőt kell tennie:

  1. Helyezze a gazdagépet karbantartási módba.
  2. A Minden gazdagép területen kattintson a jobb gombbal a legújabb kódintegritási szabályzat alkalmazása gazdagépre>.
  3. Állítsa le a karbantartási módot a gazdagép esetében.

Következő lépések