Lemezek és virtuálisgép-sablonok beállítása védett virtuális gépek üzembe helyezéséhezSet up a disks and a VM template to deploy shielded VMs

Fontos

A Virtual Machine Manager (VMM) ezen verziója elérte a támogatás végét, javasoljuk, hogy frissítsen a VMM 2019-re.This version of Virtual Machine Manager (VMM) has reached the end of support, we recommend you to upgrade to VMM 2019.

A védett virtuális gépeket a System Center-Virtual Machine Manager (VMM) számítási hálóban telepítheti egy aláírt virtuálisgép-merevlemez (VHDX) használatával, és opcionálisan egy virtuálisgép-sablonnal is.You deploy shielded virtual machines in the System Center - Virtual Machine Manager (VMM) compute fabric using a signed virtual machine hard disk (VHDX), and optionally with a VM template. Ez a cikk azt ismerteti, hogy miként lehet aláírt sablonlemezeket VMM-be felvenni, hogyan lehet védelmi segédlemezt konfigurálni, hogyan lehet új védett virtuális gépeket üzembe helyezni, és hogyan lehet meglévő virtuális gépeket VMM-ben védett virtuális gépekké alakítani.This article describes how to add signed template disks to VMM, configure a shielding utility disk, deploy new shielded VMs and convert existing VMs to shielded VMs in VMM.

ElőkészületekBefore you start

  • A védett virtuálisgép-sablon létrehozásához használt aláírt sablonlemezen meg kell jelölni a családot és a verziót.The signed template disk used to create the shielded VM template must have the family and version marked.
  • A VMM-könyvtárat, amelyhez hozzáadja az aláírt sablonlemezt, elérhetővé kell tenni a védett virtuális gépeket kiépítő felhők számára.The VMM library to which you add the signed template disk must be accessible to clouds from which shielded VMs will be provisioned.
  • A megosztott könyvtárat hozzá kell adni (nem írásvédett módban) a védett virtuális gépeket kiépítő felhőkhöz.The library shared should be added to clouds from which shielded VMs will be provisioned (not in read-only mode).

Aláírt sablonlemezek hozzáadása a VMM-erőforrástár védett virtuális gépeihezAdding signed template disks for shielded VMs to the VMM library

A védett virtuális gépeket kétféle módon lehet üzembe helyezni: közvetlenül egy aláírt sablonlemezzel, vagy egy meglévő virtuális gép védett virtuális géppé alakításával.Shielded VMs can be deployed in two ways: by deploying directly from a signed template disk or by converting an existing VM to a shielded VM. Az aláírt sablonlemezek biztosítják a bérlők számára a lemez tartalmának változatlanságát, és lehetővé teszik a bérlőknek üzembe helyezési titkos kulcsok (például rendszergazdai jelszavak és tanúsítványok) biztonságos és titkosított módon történő átvitelét a virtuális gépre.Signed template disks assure tenants that the disk contents have not been modified and enable tenants to securely transfer deployment secrets like administrator passwords and certificates to the VM in an encrypted manner. Emiatt javasoljuk, hogy védett virtuális gépeket aláírt sablonlemezekről helyezzen üzembe.For this reason, it is preferred to deploy shielded VMs from signed template disks.

Az aláírt sablonlemezek előkészítéséhez és VMM-erőforrástárhoz való hozzáadásához kövesse az alábbi lépéseket:To prepare and add a signed template disk to the VMM library, complete the following steps:

  1. Készítsen elő egy aláírt sablonlemezt egy olyan gépen, amelyen Windows Server 2016 fut asztali kezelőfelülettel vagy Windows 10 a Távoli kiszolgálófelügyelet eszközei szolgáltatással telepítve.Prepare a signed template disk on a machine running Windows Server 2016 with Desktop Experience, or Windows 10 with the Remote Server Administration Tools installed.

  2. Másolja a sablon lemezét egy megosztott MSSCVMMLibrary (a \ \ <vmmserver> \ \ virtuális merevlemezek alapértelmezés szerint), és frissítse a függvénytár-kiszolgálót.Copy the template disk to a library share (\\<vmmserver>\MSSCVMMLibrary\VHDs by default), and refresh the library server.

  3. A sablonlemezen lévő operációs rendszer adatainak megadásához kattintson a jobb gombbal az Erőforrástár lap Lemez > Tulajdonságok elemére.To provide VMM with information about the operating system on the template disk, in Library, right-click the disk > Properties.

  4. Az Operációs rendszer mezőben válassza ki a lemezre telepített operációs rendszert.In Operating system, select the operating system installed on the disk. Ezzel jelzi a VMM felé, hogy a VHDX nem üres.This indicates to VMM that the VHDX isn't blank. A lemez neve melletti pajzs ikon azt jelzi, hogy aláírt sablonlemez védett virtuális gépekhez.The shield icon next to the disk name denotes it as a signed template disk for shielded VMs. Adja meg az adatokat a lemez családjával és kiadásával kapcsolatban, illetve tegye elérhetővé az erőforrásokat a bérlői Azure Pack önkiszolgáló portálján (nem kötelező).Supply information about the Family and Release of the disk as well to make the resources available in the tenant Azure Pack self-service portal (optional).

    Az aláírt sablonlemez lemeztulajdonsági ablaka

  5. Az OK gombra kattintva mentheti az aláírt sablonlemez tulajdonságait.Click OK to save the properties of the signed template disk.

Védett virtuális gép sablonjának létrehozásaCreate a shielded VM template

A védett virtuális gép sablonját aláírt sablonlemez használatával is létre lehet hozni (nem kötelező).You can optionally create a shielded VM template using a signed template disk. A virtuálisgép-sablonok a virtuális gép erőforrásait határozzák meg (például processzorszám, memória és az operációs rendszert tartalmazó lemez hálózati beállításai).VM templates define virtual machine resources such as CPU count, RAM, and networking for an OS disk.

A védett virtuális gépek sablonjai kis mértékben különböznek a közönséges virtuálisgép-sablonoktól.Templates for shielded VMs vary slightly from a regular VM template. Egyes beállítások rögzítettek – például a virtuális gép csak 2. generációs virtuális gép lehet, amelyen engedélyezve van a biztonságos rendszerindítás.Some settings are fixed – for example the VM must be a Generation 2 VM with Secure Boot enabled. A virtuálisgép-sablon létrehozásának lépései a következők:Create the VM template as follows:

  1. Kattintson a tár virtuálisgép- > sablon létrehozása elemre.Click Library > Create VM Template. A Forrás kijelölése lapon kattintson a Meglévő virtuálisgép-sablon vagy az erőforrástárban tárolt virtuális merevlemez használata lehetőségre, majd a Tallózás gombra.In Select Source, click Use an existing VM template or a virtual hard disk stored in the library > Browse.
  2. Jelölje ki az aláírt sablonlemezt, adja meg a sablon nevét és igény szerint a leírását, majd kattintson az OK gombra.Select the signed template disk, specify a template name and optional description, and click OK.
  3. A Hardver konfigurálása lapon adja meg a sablonból létrehozni kívánt virtuális gépek tulajdonságait.In Configure Hardware, specify the hardware properties for VMs you create from the template. Győződjön meg arról, hogy legalább egy hálózati adapter be van állítva és elérhető.Make sure there's at least one NIC configured and available. A bérlők távoli asztali kapcsolattal, Windows rendszerfelügyeleti webszolgáltatással vagy más, hálózatot igénylő távfelügyeleti eszközzel kapcsolódnak a védett virtuális gépekhez.Tenants connect to shielded VMs over Remote Desktop Connection, Windows Remote Management, or other remote management tools that require networking.
  4. Amennyiben a bérlői készletben statikus IP-címkezelést kíván alkalmazni, erről tájékoztatnia kell a bérlőket.If you want to use static IP addressing in the tenant pool, you need to let your tenants know. A bérlőknek válaszként egy fájlt kell átadniuk, amely specializál számukra egy védett virtuális gépet.Tenants need to provide an answer file with values that specializes a shielded VM for them. A statikus IP-címkészletek támogatásához különleges, jól ismert helyőrzői értékek szükségesek.There are special, well-known placeholder values required to support static IP pools.
  5. Az Operációs rendszer konfigurálása lapon adja meg az operációs rendszer verzióját, a számítógép nevét, a termékkulcsot és az időzónát.In Configure Operating System, specify the OS version, computer name, product key and time zone. A bérlő biztonsági információkat (például rendszergazda jelszava) ad meg egy általa előállított védelmi célú adatfájlban (.PDK) az új virtuális gép kiépítésekor.The tenant provides secure information such as the administrator password in a shielding data file (.PDK) that they'll provide when provisioning a new VM. A termékkulcs megadásakor ügyeljen arra, hogy az érvényes legyen a sablonlemezen lévő operációs rendszerre.If you specify a product key make sure it's valid for the operating system on the template disk. Ellenkező esetben a virtuális gép kiépítése nem fog sikerülni.If it isn't, the VM will not provision successfully. A virtuálisgép-sablon létrehozása után győződjön meg arról, hogy az elérhető a Bérlői rendszergazda felhasználói szerepkör számára.After the VM template is created, make sure that it's available to the Tenant Administrator user role. A bérlők ez után már felhasználhatják új virtuális gépek kiépítésére.Tenants can then use it to provision new VMs.

A védelmi segédalkalmazás VHD-jének konfigurálásaConfigure the shielding helper VHD

A meglévő Windows-rendszerű virtuális gépeket át lehet alakítani védett virtuális gépekké a védelmi segédalkalmazás VHD-jének használatával.Existing Windows VMs can also be converted to shielded VMs with the use of a shielding helper VHD. A segédalkalmazás VHD-je egy másik virtuális gép operációsrendszer-meghajtójának titkosításához szükséges eszközökkel felszerelt különleges lemez.The helper VHD is a special disk prepared with tools to encrypt another VM's operating system drive. A VMM segédalkalmazási VHD-vel való konfigurálása szükséges a meglévő VM-ek védetté tétele előtt.VMM must be configured with a helper VHD before you can shield existing VMs.

  1. Készítse elő a segédalkalmazás VHD-jét egy olyan számítógépen, amelyen Windows Server 2016 vagy Windows 10 fut a Távoli kiszolgálófelügyelet eszközei szolgáltatással telepítve.Prepare a helper VHD on a computer running Windows Server 2016 or Windows 10 with the Remote Server Administration Tools installed.
  2. Másolja a segédalkalmazás VHD-jét egy megosztott erőforrástárba, és frissítse az erőforrástár-kiszolgálót.Copy the helper VHD to a library share, and refresh the library server.
  3. A VMM-konzolon kattintson a Beállítások > gazdagép Guardian szolgáltatás beállításai elemre.In the VMM console, click Settings > Host Guardian Service Settings.
  4. A Védelmi segédalkalmazás VHD-je szakaszban kattintson a Tallózás gombra, és válassza ki a segédalkalmazás VHD-jét a megosztott erőforrástárak fájllistájából.In the Shielding Helper VHD section, click Browse and select the helper VHD from the list of files in the library shares.
  5. A konfiguráció mentéséhez kattintson a Befejezés gombra.Click Finish to save the configuration.

Miután befejeződött a védelmi segédalkalmazás VHD-jének konfigurálása, folytathatja a műveletet a meglévő virtuális gép védetté tételével.With the shielding helper VHD configured, you can proceed to shield an existing VM.

Következő lépésekNext steps

Tekintse át a védett virtuális gépek kiépítése című témakört, amelyből megismerheti, hogyan helyezhet üzembe védett virtuális gépeket egy VMM számítási hálóban.Review Provision shielded VMs to understand how to deploy shielded virtual machines in a VMM compute fabric.