Védett virtuális gépek üzembe helyezése a VMM-hálóbanProvision shielded virtual machines in the VMM fabric

Fontos

A Virtual Machine Manager (VMM) ezen verziója elérte a támogatás végét, javasoljuk, hogy frissítsen a VMM 2019-re.This version of Virtual Machine Manager (VMM) has reached the end of support, we recommend you to upgrade to VMM 2019.

Ez a cikk bemutatja, hogyan helyezhet üzembe védett virtuális gépeket a System Center-Virtual Machine Manager (VMM) számítási hálóban.This article describes how to deploy shielded virtual machines in the System Center - Virtual Machine Manager (VMM) compute fabric.

A védett virtuális gépek üzembe helyezése a VMM-ben több módon is lehetséges:You can deploy shielded VMs in VMM in a couple of ways:

  • Meglévő virtuális gép konvertálása védett virtuális gépre.Convert an existing VM into a shielded VM.
  • Egy új, védett virtuális gép létrehozása egy aláírt virtuálisgép-merevlemez (VHDX) és opcionálisan egy virtuálisgép-sablon használatával.Create a new shielded VM using a signed virtual machine hard disk (VHDX), and optionally a VM template.

ElőkészületekBefore you start

Tekintsen meg egy rövid videót, amelyben két percben összefoglaljuk, miként építhet ki védett virtuális gépeket VMM-ben.Watch a video that provides a quick, two-minute overview of provisioning shielded VMs in VMM. Ezt követően feltétlenül végezze el az alábbiakat:Then, make sure you've done the following:

  1. Egy gazdagépőr szolgáltatási (HGS) kiszolgáló előkészítése: Üzembe kell helyezni egy gazdagépőr-kiszolgálót.Prepare an HGS server: You should have an HGS server deployed. További információ.Learn more.

  2. VMM beállítása: A VMM-ben konfigurálni kell a Gazdagépőr szolgáltatás globális beállításait, és be kell állítani legalább egy őrzött gazdagépet.Set up VMM: You need to configure global HGS settings in VMM, and set up at least one guarded host. Ha őrzött gazdagépek tartoznak egy felhőhöz, a felhőben engedélyezni kell a védett virtuális gépek támogatását.If guarded hosts belong to a cloud, the cloud should be enabled to support shielded VMs. További információ.Learn more.

  3. Védett VHDX- és virtuálisgép-sablon előkészítése: védett virtuálisgép-merevlemezről (VHDX-ről) kell telepítenie a védett virtuális gépet. Ehhez igény szerint virtuálisgép-sablont is használhat.Prepare a shielded VHDX and VM template: You deploy shielded VMs from a shielded virtual hard disk (VHDX), optionally using a VM template. További információ ezek előkészítéséről.Learn more about preparing these.

    Megjegyzés

    Védett virtuális gép létrehozásához nem használhat szolgáltatási sablont.You cannot use a service template to create a shielded VM. Ehelyett használjon parancsfájlt.Use a script instead.

  4. Adatfájlok védelmének előkészítése: Ahhoz, hogy az aláírt sablonlemezek használhatók legyenek a VMM-erőforrástárban, a bérlőknek elő kell készíteniük egy vagy több védelmi adatfájlt.Prepare shielding data files: To use the signed template disks in the VMM library, tenants must prepare one or more shielding data files. Ez a fáj tartalmazza azokat a titkos kulcsokat, amelyekre a bérlőknek szükségük van a virtuális gépek üzembe helyezéséhez, köztük a felügyelet nélküli fájlt is, amely megadja a virtuális gép, a tanúsítványok, a rendszergazda és a fiók jelszavát.This file contains all the secrets that a tenant needs to deploy a VM, including the unattend file used to specialize the VM, certificates, administrator account passwords. Ez a fájl adja meg azt is, hogy a bérlő melyik védett hálóra bízza a virtuális gépe üzemeltetését, valamint az aláírt sablonlemezekkel kapcsolatos adatokat is tartalmaz.The file also specifies which guarded fabric a tenant trusts to host their VM and information about the signed template disks. Ez a fájl titkosítva van, és csak a bérlő által megbízott védett hálóhoz tartozó gazdagépen olvasható.The file is encrypted and can only be read by a host in a guarded fabric trusted by the tenant. További információ.Learn more.

  5. Gazdagépcsoport létrehozása: A könnyebb kezelhetőség érdekében javasolt a védett gazdagép hozzáadása egy dedikált VMM-gazdagépcsoporthoz.Set up host group: For easy management, we recommend that guarded hosts be placed in a dedicated VMM host group.

  6. A meglévő virtuális gépek követelményeinek ellenőrzése: Ha egy meglévő virtuális gépet szeretne védetté alakítani, vegye figyelembe a következőket:Verify existing VM requirements: If you want to convert an existing VM to shielded, note the following:

    • A virtuális gépnek legalább második generációsnak kell lennie, és a Microsoft Windows Secure Boot sablonnak engedélyezettnek kell lennieThe VM must be generation 2 and have the Microsoft Windows Secure Boot template enabled
    • A lemezen található operációs rendszernek az alábbiak közül kell kikerülnie:The operating system on the disk must be one of:
    • Windows Server 2016, Windows Server 2012 R2, Windows Server 2012Windows Server 2016, Windows Server 2012 R2, Windows Server 2012
    • Windows 10, Windows 8.1, Windows 8Windows 10, Windows 8.1, Windows 8
    • A virtuális gép operációs rendszerét tartalmazó lemeznek a GUID partíciós táblát kell használnia.The OS disk for the VM must use GUID Partition Table. Ez a második generációs virtuális gépek UEFI-támogatásához szükséges.This is required for generation 2 VMs to support UEFI.
  7. Segéd VHD létrehozása: A tárhelyszolgáltatónak létre kell hoznia egy virtuális gépet, amely segéd VHD-ként funkcionál a meglévő gépek átalakításakor.Set up helper VHD: The hosting service provider will need to create a VM that acts as a helper VHD for converting existing machines. További információ.Learn more.

Védelmi célú adatfájlok hozzáadása VMM-hezAdding shielding data files to VMM

Mielőtt a meglévő virtuális gépet védett virtuális géppé alakítaná vagy sablonból új védett virtuális gépet helyezne üzembe, a virtuális gép tulajdonosának létre kell hoznia egy védelmi célú adatfájlt, és hozzá kell adnia a VMM-hez.Before you can convert an existing VM to a shielded VM or provision a new shielded VM from a template, the VM owner must generate a shielding data file and add it to VMM.

Ha még nem rendelkezik importált védelmi célú adatfájllal, kövesse az alábbi lépésekben megadott utasításokat:If you do not already have a shielding data file imported, complete the following steps:

  1. Hozzon létre védelmi célú adatfájlt, ha még nem rendelkezik vele.Create a shielding data file if you don't already have one. Győződjön meg róla, hogy a védelmi célú adatfájl engedélyezi az üzemeltetési hálót és a VMM futtatja a védett virtuális gépeit.Make sure the shielding data file authorizes the hosting fabric VMM manages to run your shielded VMs.
  2. A VMM-konzolon kattintson a függvénytár- > védelem adatvédelme > Tallózás lehetőségre, és válassza ki a védelmi adatfájlt.In the VMM console, click Library > Import Shielding Data > Browse and select your shielding data file.
  3. A Név lehetőségnél adjon meg egy nevet, valamint a jellemzését (nem kötelező).Specify a friendly name for the shielding data file in Name and optionally add a description. Javasolt, hogy a védelmi célú adatfájl nevében jelezze, hogy már meglévő vagy újonnan létrehozott virtuális géppel való felhasználásra szánta-e, hiszen így könnyebb lesz újra megtalálnia.It is recommended that you indicate whether the shielding data file is intended for use with existing or new VMs in its name to make it easier to find again.
  4. A védelmi célú adatfájl VMM-ben történő elmentéséhez kattintson az Importálás elemre.Click Import to save the shielding data in VMM.

Az importált védelmi adatfájlok kezeléséhez nyissa meg a könyvtár > virtuális gép védelmi adatait (a "profilok" alatt).To manage your imported shielding data files, go to Library > VM Shielding Data (under "Profiles").

Egy új védett virtuális gép üzembe helyezéseProvision a new shielded VM

  1. A kezdés előtt ellenőrizze, hogy minden megfelel-e az előfeltételeknek.Make sure you have all the prerequisites in place before you start.
  2. A Virtuális gépek és szolgáltatások menüben kattintson a Virtuális gép létrehozása lehetőségre a Virtuális gép létrehozása varázsló elindításához.In VMs and Services, click Create Virtual Machine to open the Create Virtual Machine Wizard.
  3. A Forrás kiválasztása lapon kattintson a Meglévő virtuális gép, virtuálisgép-sablon vagy virtuális merevlemez használata > Tallózás elemre.In Select Source, click Use an existing virtual machine, VM template, or virtual hard disk > Browse.
  4. Válasszon ki egy védett virtuálisgép-sablont vagy aláírt sablonlemezt.Select a shielded VM template or signed template disk. Mindkettőt ugyanaz a pajzs ikon szimbolizáljaBoth are identified by the shield icon Pajzs ikon a VMM-ben..
  5. A Védelmi adatfájl kiválasztása lapon kattintson a Tallózás elemre, és válasszon ki egy védelmi célú adatfájlt.In Select Shielding Data File, click Browse and select a shielding data file. Csak azok a védelmi célú adatfájlok kerülnek megjelenítésre, amelyek felhasználhatók egy új védett virtuális gép létrehozásához.Only shielding data files that can be used to create a new shielded VM will be shown. > A folytatáshoz kattintson a Tovább gombra.Click OK > Next to continue.
  6. Kövesse ezeket az utasításokat a varázsló befejezéséhez és a virtuális gép üzembe helyezéséhez a gazdagépen/felhőben.Follow these instructions to complete the wizard, and to deploy the VM on a host/cloud.

A varázsló befejezése után a VMM létrehoz egy új védett virtuális gépet a lemezről vagy a sablonból:When you complete the wizard, VMM creates a new shielded VM from the disk or template:

  1. A sablonlemez- (VHDX-) fájlt átmásolja a rendszer a VMM-erőforrástárbólThe template disk (VHDX) file is copied from the VMM library
  2. A virtuális gép üzembe helyezése dekódolja a védelmi célú adatfájlban található adatokat, befejezi az unattend.xml fájlban található helyettesítő sztringeket, és további fájlokat másol át a védelmi célú adatfájlból az operációs rendszer meghajtójára (például az RDP-tanúsítványt).VM provisioning decrypts the data in the shielding data file, completes any substitution strings in the unattend.xml file, and copies additional files from the shielding data file to the operating system drive (for example, the RDP certificate).
  3. A virtuális gép újraindul, a rendszer testreszabja és a BitLockerrel újrakódolja.The VM restarts, is customized, and re-encrypted with BitLocker. A teljes kötet BitLocker-titkosítási kulcsát az új virtuális gép virtuális TPM-je tárolja.The BitLocker full volume encryption key is stored in the virtual TPM of the new VM.
  4. A virtuális gép testreszabása akkor fejeződik be, amikor lefut az unattend.xml fájlban található leállítási parancs, és a virtuális gép kikapcsolva marad.VM customization is complete when the shutdown command in the unattend.xml file runs, the VM remains switched off. Ha a testreszabás elakad, ellenőrizze az unattend.xml fájlt úgy, hogy futtatja egy védelem nélküli virtuális gépen, vagy konzol-hozzáférést támogató titkosítást támogatott védelmi célú adatfájlt használ.If customization gets stuck, check the unattend.xml file by running it on an unshielded VM, or using an encryption-supported shielding data file that allows console access.
  5. Mikor a VMM észleli, hogy a specializáció befejeződött, frissíti állapotát, hogy jelezze, a virtuális gép létrejött, és ha ki van választva, el is indítja azt.After VMM detects that specialization has finished, it will update its status to indicate the VM is created and, if selected, start up the VM.

Meglévő virtuális gép védelmeShield an existing VM

A védelmet jelenleg olyan virtuális gépek esetében lehet engedélyezni, amelyek egy védelem nélküli gazdagépen futnak a VMM-hálóban.You can enable shielding for a VM currently running on a host in the VMM fabric that isn't guarded.

  1. Kezdés előtt ellenőrizze, hogy minden megfelel-e az előfeltételeknek.Ensure you have all the prerequisites in place before you start.
  2. Állítsa a virtuális gépet kapcsolat nélküli üzemmódba.Take the VM offline.
  3. Javasoljuk, hogy a védett gazdagépre áthelyezés előtt a virtuális géphez csatolt összes lemezen engedélyezze a BitLockert.We recommend that you enable BitLocker on all disks attached to the VM before moving it to the guarded host.
  4. Válassza ki a virtuális gépet > Tulajdonságok > pajzsot, és válasszon ki egy védelmi adatfájlt.Select the VM > Properties > Shield, and select a shielding data file.
  5. Állítsa le a virtuális gépet, exportálja a védelem nélküli gazdagépről, és importálja a védett gazdagépre.Shut down the VM, export from non-guarded host, and import it to a guarded host. A virtuális gép adataihoz csak egy védett gazdagép tud hozzáférni.Only a guarded host can access the VM data.

Következő lépésekNext steps

Tekintse át a virtuális gépek beállításainak kezelése című témakört, amelyből megtudhatja, hogyan konfigurálhatja a virtuális gépek teljesítményétReview Manage virtual machine settings to learn how to configure performance and availability settings for VMs.