Védett virtuális gépek üzembe helyezése a VMM-hálóban
Fontos
A Virtual Machine Manager (VMM) ezen verziója elérte a támogatás végét. Javasoljuk, hogy frissítsen a VMM 2022-re.
Ez a cikk azt ismerteti, hogyan helyezhet üzembe védett virtuális gépeket a System Center – Virtual Machine Manager (VMM) számítási hálóban.
A védett virtuális gépek üzembe helyezése a VMM-ben több módon is lehetséges:
- Meglévő virtuális gép átalakítása védett virtuális géppé.
- Hozzon létre egy új védett virtuális gépet egy aláírt virtuálisgép-merevlemez (VHDX) és opcionálisan egy virtuálisgép-sablon használatával.
Megjegyzés
Problémákat tapasztalhat egy védett virtuális gép terheléselosztóval vagy WAN-optimalizálási eszközzel történő hálózaton történő üzembe helyezésével kapcsolatban. A védett virtuális gépek sikeres üzembe helyezéséhez szükséges, hogy a csomag ne legyen módosítva az átvitel során.
Előkészületek
Tekintsen meg egy rövid videót, amelyben két percben összefoglaljuk, miként építhet ki védett virtuális gépeket VMM-ben. Ezután győződjön meg arról, hogy elvégezte a következőket:
Egy gazdagépőr szolgáltatási (HGS) kiszolgáló előkészítése: Üzembe kell helyezni egy gazdagépőr-kiszolgálót. További információk.
VMM beállítása: A VMM-ben konfigurálni kell a Gazdagépőr szolgáltatás globális beállításait, és be kell állítani legalább egy őrzött gazdagépet. Ha őrzött gazdagépek tartoznak egy felhőhöz, a felhőben engedélyezni kell a védett virtuális gépek támogatását. További információk.
Védett VHDX- és virtuálisgép-sablon előkészítése: Védett virtuális gépek üzembe helyezése védett virtuális merevlemezről (VHDX) és opcionálisan virtuálisgép-sablon használatával. További információ ezek előkészítéséről.
Megjegyzés
Védett virtuális gép létrehozásához nem használhat szolgáltatássablont. Használjon helyette egy szkriptet.
Adatfájlok védelmének előkészítése: Ahhoz, hogy az aláírt sablonlemezek használhatók legyenek a VMM-erőforrástárban, a bérlőknek elő kell készíteniük egy vagy több védelmi adatfájlt. Ez a fájl tartalmazza a bérlő által a virtuális gép üzembe helyezéséhez szükséges összes titkos kódot, beleértve a virtuális gép, a tanúsítványok és a rendszergazdai fiók jelszavának specializálásához használt nem felügyelt fájlt. Ez a fájl adja meg azt is, hogy a bérlő melyik védett hálóra bízza a virtuális gépe üzemeltetését, valamint az aláírt sablonlemezekkel kapcsolatos adatokat is tartalmaz. Ez a fájl titkosítva van, és csak a bérlő által megbízott védett hálóhoz tartozó gazdagépen olvasható. További információk.
Gazdagépcsoport létrehozása: A könnyebb kezelhetőség érdekében javasolt a védett gazdagép hozzáadása egy dedikált VMM-gazdagépcsoporthoz.
A meglévő virtuális gépek követelményeinek ellenőrzése: Ha egy meglévő virtuális gépet szeretne védetté alakítani, vegye figyelembe a következőket:
- A virtuális gépnek legalább második generációsnak kell lennie, és a Microsoft Windows Secure Boot sablonnak engedélyezettnek kell lennie
- A lemezen található operációs rendszernek az alábbiak közül kell kikerülnie:
- Windows Server 2016, Windows Server 2012 R2, Windows Server 2012
- Windows 10, Windows 8.1, Windows 8
- A virtuális gép operációsrendszer-lemezének a GUID partíciótáblát kell használnia. Ez a második generációs virtuális gépek UEFI-támogatásához szükséges.
- A virtuális gépnek legalább második generációsnak kell lennie, és a Microsoft Windows Secure Boot sablonnak engedélyezettnek kell lennie
- A lemezen található operációs rendszernek az alábbiak közül kell kikerülnie:
- Windows Server 2016, Windows Server 2012 R2, Windows Server 2012
- Windows 10
- A virtuális gép operációs rendszerét tartalmazó lemeznek a GUID partíciós táblát kell használnia. Ez a második generációs virtuális gépek UEFI-támogatásához szükséges.
- A virtuális gépnek legalább második generációsnak kell lennie, és a Microsoft Windows Secure Boot sablonnak engedélyezettnek kell lennie
- A lemezen található operációs rendszernek az alábbiak közül kell kikerülnie:
- Windows Server 2022, Windows Server 2019, Windows Server 2016
- Windows 11, Windows 10
- A virtuális gép operációsrendszer-lemezének a GUID partíciótáblát kell használnia. Ez a második generációs virtuális gépek UEFI-támogatásához szükséges.
Segéd VHD beállítása: A szolgáltatónak létre kell hoznia egy virtuális gépet, amely segéd virtuális merevlemezként működik a meglévő gépek konvertálásához. További információk.
Védelmi célú adatfájlok hozzáadása VMM-hez
Mielőtt a meglévő virtuális gépet védett virtuális géppé alakítaná vagy sablonból új védett virtuális gépet helyezne üzembe, a virtuális gép tulajdonosának létre kell hoznia egy védelmi célú adatfájlt, és hozzá kell adnia a VMM-hez.
Ha még nem importált védelmi adatfájlt, hajtsa végre az alábbi lépéseket:
- Hozzon létre védelmi célú adatfájlt, ha még nem rendelkezik vele. Győződjön meg arról, hogy a védelmi adatfájl engedélyezi a VMM által felügyelt üzemeltetési háló számára a védett virtuális gépek futtatását.
- A VMM-konzolon válassza a Kódtár>– Védelmi adatok> importálásaTallózás lehetőséget, és válassza ki a védelmi adatfájlt.
- A Név lehetőségnél adjon meg egy nevet, valamint a jellemzését (nem kötelező). Javasoljuk, hogy jelezze, hogy a védelmi adatfájl a meglévő vagy új virtuális gépekkel való használatra szolgál-e a nevében, hogy könnyebben megtalálhassa azokat.
- Válassza az Importálás lehetőséget a védelmi adatok VMM-ben való mentéséhez.
Az importált védelmi adatfájlok kezeléséhez lépjen a Kódtár> virtuálisgép védelmi adataihoz (a "Profilok" alatt).
Egy új védett virtuális gép üzembe helyezése
- A kezdés előtt győződjön meg arról, hogy minden előfeltétel teljesül.
- A Virtuális gépek és szolgáltatások területen válassza a Virtuális gép létrehozása lehetőséget a Virtuális gép létrehozása varázsló megnyitásához.
- A Forrás kiválasztása területen válassza a Meglévő virtuális gép, virtuálisgép-sablon vagy virtuális merevlemez>tallózása lehetőséget.
- Válasszon ki egy védett virtuálisgép-sablont vagy aláírt sablonlemezt. Mindkettőt a azonosítja.
- A Védelmi adatfájl kiválasztása területen válassza a Tallózás lehetőséget, és válasszon ki egy védelmi adatfájlt. Csak azok a védelmi célú adatfájlok kerülnek megjelenítésre, amelyek felhasználhatók egy új védett virtuális gép létrehozásához. A folytatáshoz kattintson az OK>Tovább gombra.
- Kövesse ezeket az utasításokat a varázsló befejezéséhez és a virtuális gép üzembe helyezéséhez a gazdagépen/felhőben.
A varázsló befejezése után a VMM létrehoz egy új védett virtuális gépet a lemezről vagy a sablonból:
- A sablonlemez- (VHDX-) fájlt átmásolja a rendszer a VMM-erőforrástárból
- A virtuális gép üzembe helyezése dekódolja a védelmi célú adatfájlban található adatokat, befejezi az unattend.xml fájlban található helyettesítő sztringeket, és további fájlokat másol át a védelmi célú adatfájlból az operációs rendszer meghajtójára (például az RDP-tanúsítványt).
- A virtuális gép újraindul, a rendszer testreszabja és a BitLockerrel újrakódolja. A teljes kötet BitLocker-titkosítási kulcsát az új virtuális gép virtuális TPM-je tárolja.
- A virtuális gép testreszabása akkor fejeződik be, amikor a unattend.xml fájl leállítási parancsa fut; A virtuális gép továbbra is ki van kapcsolva. Ha a testreszabás elakad, ellenőrizze az unattend.xml fájlt úgy, hogy futtatja egy védelem nélküli virtuális gépen, vagy konzol-hozzáférést támogató titkosítást támogatott védelmi célú adatfájlt használ.
- Mikor a VMM észleli, hogy a specializáció befejeződött, frissíti állapotát, hogy jelezze, a virtuális gép létrejött, és ha ki van választva, el is indítja azt.
Meglévő virtuális gép védelme
A védelmet jelenleg olyan virtuális gépek esetében lehet engedélyezni, amelyek egy védelem nélküli gazdagépen futnak a VMM-hálóban.
- A kezdés előtt győződjön meg arról, hogy minden előfeltétel teljesült.
- Állítsa a virtuális gépet kapcsolat nélküli üzemmódba.
- Javasoljuk, hogy a védett gazdagépre áthelyezés előtt a virtuális géphez csatolt összes lemezen engedélyezze a BitLockert.
- Válassza ki a virtuális gép >tulajdonságok>pajzsát, és válasszon ki egy védelmi adatfájlt.
- Állítsa le a virtuális gépet, exportálja a védelem nélküli gazdagépről, és importálja a védett gazdagépre. A virtuális gép adataihoz csak egy védett gazdagép tud hozzáférni.
Következő lépések
A virtuális gépek teljesítmény- és rendelkezésreállási beállításainak konfigurálásáról a Virtuális gépek beállításainak kezelése című témakörben olvashat.
Visszajelzés
https://aka.ms/ContentUserFeedback.
Hamarosan elérhető: 2024-ben fokozatosan kivezetjük a GitHub-problémákat a tartalom visszajelzési mechanizmusaként, és lecseréljük egy új visszajelzési rendszerre. További információ:Visszajelzés küldése és megtekintése a következőhöz: