Scenario: Distribuire host sorvegliati e macchine virtuali schermate in VMM
Importante
Questa versione di Virtual Machine Manager (VMM) ha raggiunto la fine del supporto. È consigliabile eseguire l'aggiornamento a VMM 2022.
Questo articolo offre una panoramica della distribuzione di host sorvegliati Hyper-V e macchine virtuali schermate in un'infrastruttura di calcolo di System Center Virtual Machine Manager (VMM).
Le infrastrutture sorvegliate forniscono ulteriore protezione per le macchine virtuali per impedire manomissioni e furti da amministratori malintenzionati e tramite malware. Il provider di servizi cloud o l'amministratore del cloud privato può distribuire un'infrastruttura sorvegliata costituita in genere da un server che esegue il servizio Sorveglianza host (HGS), uno o più server host Hyper-V sorvegliati e una o più VM schermate in esecuzione in tali host. Altre informazioni sulle infrastrutture sorvegliate.
Funzionalità per la protezione di VM
Le macchine virtuali contengono dati sensibili ed elementi di configurazione che probabilmente il proprietario della macchina virtuale non vuole siano visibili per l'amministratore di un'infrastruttura. Dato che tutti i dati per le macchine virtuali sono archiviati in file, tuttavia, questi dati possono essere facilmente copiati e visionati da un amministratore malintenzionato o tramite malware.
Le macchine virtuali schermate in Windows Server consentono di prevenire tali attacchi attestando rigorosamente l'integrità di un host Hyper-V prima di avviare una macchina virtuale, assicurando che la macchina virtuale possa essere avviata solo nei data center autorizzati dal proprietario della macchina virtuale e consentendo al sistema operativo guest di crittografare i propri dati usando un nuovo TPM virtuale. Il proprietario della macchina virtuale può selezionare uno dei due tipi seguenti di protezione al momento della creazione di una macchina virtuali con esigenze particolari per la sicurezza:
- Crittografia supportata: ideale per gli scenari di cloud privato aziendale in cui è necessaria la crittografia dei dati inattivi e in anteprima, ma gli amministratori dell'infrastruttura sono ancora attendibili. La console della macchina virtuale e altri strumenti per la gestione rimangono disponibili per gli amministratori dell'infrastruttura.
- Schermata: la schermatura rappresenta l'opzione di distribuzione più sicura e impedisce agli amministratori dell'infrastruttura di connettersi alla console della macchina virtuale o di modificare gli aspetti relativi alla sicurezza della configurazione della macchina virtuale. I proprietari delle macchine virtuali possono accedere alla macchina virtuale solo tramite gli strumenti di gestione remota che scelgono di abilitare. Questa è l'opzione consigliata per i tenant con carichi di lavoro sensibili su un'infrastruttura pubblica o condivisa.
Gestione di un'infrastruttura sorvegliata con VMM
L'infrastruttura di infrastruttura sorvegliata di base (costituita da uno o più host Hyper-V sorvegliati, dal servizio Sorveglianza host e dagli artefatti necessari per creare macchine virtuali schermate) è inclusa in Windows Server 2016 e versioni successive e deve essere configurata in base alla documentazione dell'infrastruttura sorvegliata. Dopo aver configurato l'infrastruttura sorvegliata, per semplificarne la gestione è possibile usare facoltativamente System Center Virtual Machine Manager.
L'infrastruttura di infrastruttura sorvegliata di base (costituita da uno o più host Hyper-V sorvegliati, dal servizio Sorveglianza host e dagli artefatti necessari per creare macchine virtuali schermate) è inclusa nella versione di Windows Server applicabile e deve essere configurata in base alla documentazione dell'infrastruttura sorvegliata. Dopo aver configurato l'infrastruttura sorvegliata, per semplificarne la gestione è possibile usare facoltativamente System Center Virtual Machine Manager.
È possibile usare VMM per:
- Provisioning e gestione di host sorvegliati nell'infrastruttura di VMM: è possibile aggiungere e gestire host sorvegliati nell'infrastruttura di VMM. Un host sorvegliato è un server Hyper-V che:
- Soddisfa i prerequisiti dell'host sorvegliato.
- È autorizzato dal servizio Sorveglianza host per l'infrastruttura a eseguire VM schermate. L'amministratore di HGS determina i requisiti in base ai quali viene eseguita l'attestazione degli host in modo che possano diventare "sorvegliati".
- È contrassegnato come sorvegliato in VMM mediante la configurazione di URL di HGS corrispondenti a quelli specificati nelle impostazioni globali di VMM.
- Configurazione di un disco rigido virtuale schermato e, facoltativamente, di un modello di macchina virtuale: i dischi modello firmati (VHDX) usati per distribuire nuove VM schermate possono essere archiviati nella libreria VMM per semplificare la distribuzione. È quindi possibile usare questo VHDX in un modello di macchina virtuale.
- Provisioning e gestione di VM schermate: VMM supporta l'intero ciclo di vita delle VM schermate. ad esempio:
- Creazione di nuove VM schermate da un disco modello firmato (VHDX) e uso facoltativo di un modello di macchina virtuale.
- Conversione delle macchine virtuali esistenti in macchine virtuali schermate.
Passaggi successivi
Commenti e suggerimenti
Presto disponibile: Nel corso del 2024 verranno gradualmente disattivati i problemi di GitHub come meccanismo di feedback per il contenuto e ciò verrà sostituito con un nuovo sistema di feedback. Per altre informazioni, vedere https://aka.ms/ContentUserFeedback.
Invia e visualizza il feedback per