Eseguire il provisioning di host sorvegliati in VMM

  • Articolo

Importante

Questa versione di Virtual Machine Manager (VMM) ha raggiunto la fine del supporto. È consigliabile eseguire l'aggiornamento a VMM 2022.

Questo articolo descrive come distribuire host Hyper-V sorvegliati in un'infrastruttura di calcolo di System Center Virtual Machine Manager (VMM). Altre informazioni sull'infrastruttura protetta.

Esistono due modi per configurare gli host Hyper-V sorvegliati in un'infrastruttura di VMM.

  • Configurare un host esistente come host sorvegliato: è possibile configurare un host esistente per eseguire VM schermate.
  • Aggiungere un nuovo host sorvegliato o eseguirne il provisioning: l'host può essere:
    • Un computer Windows Server esistente (con o senza il ruolo Hyper-V)
    • Un computer bare metal

È possibile configurare host sorvegliati nell'infrastruttura di VMM nel modo seguente:

  1. Configurare le impostazioni di HGS globali: VMM connette tutti gli host sorvegliati allo stesso server HGS in modo da consentire la migrazione di VM schermate tra gli host. Si specificano le impostazioni HGS globali che si applicano a tutti gli host protetti e è possibile specificare le impostazioni specifiche dell'host che eseguono l'override delle impostazioni globali. Le impostazioni includono:

    • URL di attestazione: l'URL usato dall'host per connettersi al servizio di attestazione di HGS. Questo servizio autorizza un host all'esecuzione di VM schermate.
    • URL server di protezione con chiave: l'URL usato dall'host per recuperare la chiave necessaria per decrittografare le VM. L'host deve superare l'attestazione per poter recuperare le chiavi.
    • Criteri di integrità del codice: questi criteri consentono di limitare il software di cui è consentita l'esecuzione in un host sorvegliato. Quando HGS è configurato per l'uso dell'attestazione TPM, gli host sorvegliati devono essere configurati per l'uso dei criteri di integrità del codice autorizzati dal server HGS. È possibile specificare il percorso dei criteri di integrità del codice in VMM e distribuirli negli host. Questo è facoltativo e non è necessario gestire un tessuto sorvegliato.
    • Disco rigido virtuale di schermatura vm: disco rigido virtuale preparato appositamente usato per convertire le macchine virtuali esistenti in macchine virtuali schermate. È necessario configurare questa impostazione se si desidera proteggere le macchine virtuali esistenti.

  2. Configurare il cloud: se l'host sorvegliato verrà incluso in un cloud VMM, è necessario abilitare il supporto per le VM schermate nel cloud.

Prima di iniziare

Assicurarsi di aver distribuito e configurato il servizio guardiano host prima di procedere. Altre informazioni sulla configurazione di HGS nella documentazione di Windows Server.

Assicurarsi inoltre che tutti gli host che diventeranno host sorvegliati soddisfino i prerequisiti dell'host sorvegliato:

  • Sistema operativo: i server host devono eseguire Windows Server Datacenter. È consigliabile usare Server Core per gli host protetti.
  • Ruolo e funzionalità: i server host devono eseguire il ruolo Hyper-V e la funzionalità Supporto per Sorveglianza host per Hyper-V. Questa funzionalità consente all'host di comunicare con HGS per attestare la propria integrità e richiedere le chiavi per le VM schermate. In un host che esegue Nano Server devono essere installati i pacchetti Compute, SCVMM-Package, SCVMM-Compute, SecureStartup e ShieldedVM.
  • Attestazione TPM: se HGS è configurato per l'uso dell'attestazione TPM, i server host devono:
    • Usare UEFI 2.3.1c e un modulo TPM 2.0
    • Eseguire l'avvio in modalità UEFI (non BIOS o modalità "legacy")
    • Abilitare l'avvio protetto
  • Registrazione HGS: gli host Hyper-V devono essere registrati con HGS. La modalità di registrazione dipende dal fatto che HGS usi l'attestazione AD o TPM. Scopri di più
  • Migrazione in tempo reale: per eseguire la migrazione in tempo reale di VM schermate, è necessario distribuire due o più host sorvegliati.
  • Dominio: gli host protetti e il server VMM devono trovarsi nello stesso dominio o nei domini con attendibilità bidirezionale.

Configurare le impostazioni di HGS globali

Prima di poter aggiungere host protetti all'infrastruttura di calcolo VMM, è necessario configurare VMM con informazioni sul servizio sorveglianza host per l'infrastruttura. Lo stesso HGS verrà usato per tutti gli host sorvegliati gestiti da VMM.

  1. È necessario ottenere gli URL del server di attestazione e del server di protezione con chiave per l'infrastruttura dall'amministratore di HGS.

  2. Nella console VMM selezionare Impostazioni> delservizio di sorveglianza host.

  3. Immettere l'URL del server di attestazione e del server di protezione con chiave nei rispettivi campi. In questo momento non è necessario configurare i criteri di integrità del codice e le sezioni del disco rigido rigido virtuale della macchina virtuale.

    Screenshot della finestra Impostazioni HGS globali.

  4. Fare clic su Fine per salvare la configurazione.

Aggiungere un nuovo host sorvegliato o eseguirne il provisioning

  1. Aggiungere l'host:
    • Se si vuole aggiungere un server esistente che esegue Windows Server come host Hyper-V sorvegliato, aggiungerlo all'infrastruttura.
    • Se si vuole eseguire il provisioning di un host Hyper-V da un computer bare metal, seguire questi prerequisiti e istruzioni.

      Nota

      È possibile distribuire l'host come sorvegliato durante il provisioning (Aggiungi impostazioni >del sistema operativocreazione guidata > risorseConfigura come host sorvegliato).

  2. Continuare con la sezione successiva per configurare l'host come host sorvegliato.

Configurare un host esistente come host sorvegliato

Per configurare un host Hyper-V esistente gestito da VMM come host sorvegliato, seguire questa procedura:

  1. Attivare la modalità manutenzione per l'host.

  2. In Tutti gli host> fare clic con il pulsante destro del mouse sul servizio Host Properties>Host Guardian.

    Screenshot di Abilitare un host come host sorvegliato.

  3. Selezionare l'opzione per abilitare la funzionalità Supporto per Sorveglianza host per Hyper-V e configurare l'host.

    Nota

    • Gli URL globali del server di attestazione e del server di protezione con chiave verranno impostati nell'host.
    • Se si modificano questi URL all'esterno della console VMM, è necessario aggiornarli anche in VMM, In caso contrario, VMM non inserisce macchine virtuali schermate nell'host fino a quando gli URL non corrispondono di nuovo. È anche possibile deselezionare e ricontrollare la casella "Abilita" per riconfigurare l'host con gli URL configurati in VMM.

  4. Se si usa VMM per gestire i criteri di integrità del codice, è possibile abilitare la seconda casella di controllo e selezionare i criteri appropriati per il sistema.

  5. Selezionare OK per aggiornare la configurazione dell'host.

  6. Disattivare la modalità manutenzione per l'host.

VMM verifica che l'host superi l'attestazione quando lo si aggiunge e ogni volta che lo stato dell'host viene aggiornato. VMM esegue la distribuzione e la migrazione di VM schermate solo negli host che hanno superato la verifica di attestazione. È possibile controllare lo stato di attestazione di un host in Properties>Status>HGS Client Complessivamente.

Abilitare gli host sorvegliati in un cloud VMM

Abilitare un cloud per il supporto di host sorvegliati:

  1. Nella console VMM selezionare MACCHINE virtuali e servizi>cloud. Fare clic con il pulsante destro del mouse sul nome > del cloud Proprietà.
  2. Nelsupporto della macchina virtuale schermatagenerale> selezionare Supportato in questo cloud privato.

Gestire e distribuire i criteri di integrità del codice con VMM

Nelle infrastrutture sorvegliate configurate per l'uso dell'attestazione TPM ogni host deve essere configurato con criteri di integrità del codice considerati attendibili dal servizio Sorveglianza host. Per semplificare la gestione dei criteri di integrità del codice, è possibile usare facoltativamente VMM per distribuire criteri nuovi o aggiornati agli host sorvegliati.

Per distribuire i criteri di integrità del codice a un host sorvegliato gestito da VMM, seguire questa procedura:

  1. Creare un criterio di integrità del codice per ogni host di riferimento nell'ambiente. È necessario un criterio CI diverso per ogni configurazione hardware e software univoca degli host protetti.
  2. Archiviare i criteri di integrità del codice in una condivisione file sicura. Gli account computer per ogni host sorvegliato devono avere l'accesso in lettura alla condivisione. Solo gli amministratori fidati devono avere l'accesso in scrittura.
  3. Nella console VMM selezionare Impostazioni> delservizio di sorveglianza host.
  4. Nella sezione Criteri di integrità del codice selezionare Aggiungi e specificare un nome descrittivo e il percorso di un criterio CI. Ripetere questo passaggio per ogni criterio di integrità del codice univoco. Assicurarsi di assegnare un nome ai criteri in modo da identificare quali criteri devono essere applicati agli host. Screenshot di Aggiungi criteri di integrità del codice.
  5. Fare clic su Fine per salvare la configurazione.

Per ogni host sorvegliato, seguire ora questa procedura per applicare un criterio di integrità del codice:

  1. Attivare la modalità manutenzione per l'host.

  2. In Tutti gli host> fare clic con il pulsante destro del mouse sul servizio Host Properties>Host Guardian.

    Screenshot di Applica criteri di integrità del codice.

  3. Selezionare questa casella di controllo per abilitare l'opzione per configurare l'host con un criterio di integrità del codice e quindi selezionare il criterio appropriato per il sistema.

  4. Selezionare OK per applicare la modifica di configurazione. L'host potrebbe essere riavviato per applicare il nuovo criterio.

  5. Disattivare la modalità manutenzione per l'host.

Avviso

Assicurarsi di selezionare i criteri di integrità del codice corretti per l'host. Se all'host viene applicato un criterio incompatibile, alcuni driver, applicazioni o componenti del sistema operativo potrebbero non funzionare.

Se si aggiornano i criteri di integrità del codice nella condivisione file e si vogliono aggiornare anche gli host sorvegliati, è possibile seguire questa procedura:

  1. Attivare la modalità manutenzione per l'host.
  2. In Tutti gli host fare clic con il pulsante destro del mouse sull'host >Applica criteri di integrità del codice più recenti.
  3. Disattivare la modalità manutenzione per l'host.

Passaggi successivi