Védett virtuális gépek üzembe helyezése a VMM-hálóban

Ez a cikk azt ismerteti, hogyan helyezhet üzembe védett virtuális gépeket a System Center – Virtual Machine Manager (VMM) számítási hálóban.

A védett virtuális gépek üzembe helyezése a VMM-ben több módon is lehetséges:

• Meglévő virtuális gép átalakítása védett virtuális géppé.
• Hozzon létre egy új védett virtuális gépet egy aláírt virtuálisgép-merevlemez (VHDX) és opcionálisan egy virtuálisgép-sablon használatával.

Megjegyzés

Problémákat tapasztalhat egy védett virtuális gép terheléselosztóval vagy WAN-optimalizálási eszközzel történő hálózaton történő üzembe helyezésével kapcsolatban. A védett virtuális gépek sikeres üzembe helyezéséhez szükséges, hogy a csomag ne legyen módosítva az átvitel során.

Előkészületek

Tekintsen meg egy rövid videót, amelyben két percben összefoglaljuk, miként építhet ki védett virtuális gépeket VMM-ben. Ezután győződjön meg arról, hogy elvégezte a következőket:

1. Egy gazdagépőr szolgáltatási (HGS) kiszolgáló előkészítése: Üzembe kell helyezni egy gazdagépőr-kiszolgálót. További információk.

2. VMM beállítása: A VMM-ben konfigurálni kell a Gazdagépőr szolgáltatás globális beállításait, és be kell állítani legalább egy őrzött gazdagépet. Ha őrzött gazdagépek tartoznak egy felhőhöz, a felhőben engedélyezni kell a védett virtuális gépek támogatását. További információk.

3. Védett VHDX- és virtuálisgép-sablon előkészítése: Védett virtuális gépek üzembe helyezése védett virtuális merevlemezről (VHDX) és opcionálisan virtuálisgép-sablon használatával. További információ ezek előkészítéséről.

   Megjegyzés

   Védett virtuális gép létrehozásához nem használhat szolgáltatássablont. Használjon helyette egy szkriptet.

4. Adatfájlok védelmének előkészítése: Ahhoz, hogy az aláírt sablonlemezek használhatók legyenek a VMM-erőforrástárban, a bérlőknek elő kell készíteniük egy vagy több védelmi adatfájlt. Ez a fájl tartalmazza a bérlő által a virtuális gép üzembe helyezéséhez szükséges összes titkos kódot, beleértve a virtuális gép, a tanúsítványok és a rendszergazdai fiók jelszavának specializálásához használt nem felügyelt fájlt. Ez a fájl adja meg azt is, hogy a bérlő melyik védett hálóra bízza a virtuális gépe üzemeltetését, valamint az aláírt sablonlemezekkel kapcsolatos adatokat is tartalmaz. Ez a fájl titkosítva van, és csak a bérlő által megbízott védett hálóhoz tartozó gazdagépen olvasható. További információk.

5. Gazdagépcsoport létrehozása: A könnyebb kezelhetőség érdekében javasolt a védett gazdagép hozzáadása egy dedikált VMM-gazdagépcsoporthoz.

6. A meglévő virtuális gépek követelményeinek ellenőrzése: Ha egy meglévő virtuális gépet szeretne védetté alakítani, vegye figyelembe a következőket:

   • A virtuális gépnek legalább második generációsnak kell lennie, és a Microsoft Windows Secure Boot sablonnak engedélyezettnek kell lennie
   • A lemezen található operációs rendszernek az alábbiak közül kell kikerülnie:
     • Windows Server 2022, Windows Server 2019, Windows Server 2016
     • Windows 11, Windows 10
   • A virtuális gép operációsrendszer-lemezének a GUID partíciótáblát kell használnia. Ez a második generációs virtuális gépek UEFI-támogatásához szükséges.

7. Segéd VHD beállítása: A szolgáltatónak létre kell hoznia egy virtuális gépet, amely segéd virtuális merevlemezként működik a meglévő gépek konvertálásához. További információk.

Védelmi célú adatfájlok hozzáadása VMM-hez

Mielőtt a meglévő virtuális gépet védett virtuális géppé alakítaná vagy sablonból új védett virtuális gépet helyezne üzembe, a virtuális gép tulajdonosának létre kell hoznia egy védelmi célú adatfájlt, és hozzá kell adnia a VMM-hez.

Ha még nem importált védelmi adatfájlt, hajtsa végre az alábbi lépéseket:

1. Hozzon létre védelmi célú adatfájlt, ha még nem rendelkezik vele. Győződjön meg arról, hogy a védelmi adatfájl engedélyezi a VMM által felügyelt üzemeltetési háló számára a védett virtuális gépek futtatását.
2. A VMM-konzolon válassza a Kódtár>– Védelmi adatok> importálásaTallózás lehetőséget, és válassza ki a védelmi adatfájlt.
3. A Név lehetőségnél adjon meg egy nevet, valamint a jellemzését (nem kötelező). Javasoljuk, hogy jelezze, hogy a védelmi adatfájl a meglévő vagy új virtuális gépekkel való használatra szolgál-e a nevében, hogy könnyebben megtalálhassa azokat.
4. Válassza az Importálás lehetőséget a védelmi adatok VMM-ben való mentéséhez.

Az importált védelmi adatfájlok kezeléséhez lépjen a Kódtár> virtuálisgép védelmi adataihoz (a "Profilok" alatt).

Egy új védett virtuális gép üzembe helyezése

1. A kezdés előtt győződjön meg arról, hogy minden előfeltétel teljesül.
2. A Virtuális gépek és szolgáltatások területen válassza a Virtuális gép létrehozása lehetőséget a Virtuális gép létrehozása varázsló megnyitásához.
3. A Forrás kiválasztása területen válassza a Meglévő virtuális gép, virtuálisgép-sablon vagy virtuális merevlemez>tallózása lehetőséget.
4. Válasszon ki egy védett virtuálisgép-sablont vagy aláírt sablonlemezt. Mindkettőt a azonosítja.
5. A Védelmi adatfájl kiválasztása területen válassza a Tallózás lehetőséget, és válasszon ki egy védelmi adatfájlt. Csak azok a védelmi célú adatfájlok kerülnek megjelenítésre, amelyek felhasználhatók egy új védett virtuális gép létrehozásához. A folytatáshoz kattintson az OK>Tovább gombra.
6. Kövesse ezeket az utasításokat a varázsló befejezéséhez és a virtuális gép üzembe helyezéséhez a gazdagépen/felhőben.

A varázsló befejezése után a VMM létrehoz egy új védett virtuális gépet a lemezről vagy a sablonból:

1. A sablonlemez- (VHDX-) fájlt átmásolja a rendszer a VMM-erőforrástárból
2. A virtuális gép üzembe helyezése dekódolja a védelmi célú adatfájlban található adatokat, befejezi az unattend.xml fájlban található helyettesítő sztringeket, és további fájlokat másol át a védelmi célú adatfájlból az operációs rendszer meghajtójára (például az RDP-tanúsítványt).
3. A virtuális gép újraindul, a rendszer testreszabja és a BitLockerrel újrakódolja. A teljes kötet BitLocker-titkosítási kulcsát az új virtuális gép virtuális TPM-je tárolja.
4. A virtuális gép testreszabása akkor fejeződik be, amikor a unattend.xml fájl leállítási parancsa fut; A virtuális gép továbbra is ki van kapcsolva. Ha a testreszabás elakad, ellenőrizze az unattend.xml fájlt úgy, hogy futtatja egy védelem nélküli virtuális gépen, vagy konzol-hozzáférést támogató titkosítást támogatott védelmi célú adatfájlt használ.
5. Mikor a VMM észleli, hogy a specializáció befejeződött, frissíti állapotát, hogy jelezze, a virtuális gép létrejött, és ha ki van választva, el is indítja azt.

Meglévő virtuális gép védelme

A védelmet jelenleg olyan virtuális gépek esetében lehet engedélyezni, amelyek egy védelem nélküli gazdagépen futnak a VMM-hálóban.

1. A kezdés előtt győződjön meg arról, hogy minden előfeltétel teljesült.
2. Állítsa a virtuális gépet kapcsolat nélküli üzemmódba.
3. Javasoljuk, hogy a védett gazdagépre áthelyezés előtt a virtuális géphez csatolt összes lemezen engedélyezze a BitLockert.
4. Válassza ki a virtuális gép >tulajdonságok>pajzsát, és válasszon ki egy védelmi adatfájlt.
5. Állítsa le a virtuális gépet, exportálja a védelem nélküli gazdagépről, és importálja a védett gazdagépre. A virtuális gép adataihoz csak egy védett gazdagép tud hozzáférni.

Következő lépések

A virtuális gépek teljesítmény- és rendelkezésreállási beállításainak konfigurálásáról a Virtuális gépek beállításainak kezelése című témakörben olvashat.