VMM ファブリックで Linux のシールドされた仮想マシンをプロビジョニングするProvision shielded Linux virtual machines in the VMM fabric

この記事では、System Center 1801 - Virtual Machine Manager (VMM) で Linux のシールドされた仮想マシンを展開する方法について説明します。This article describes how to deploy Linux shielded virtual machines in System Center 1801 - Virtual Machine Manager (VMM).

Linux VM のシールドShield a Linux VM

Windows Server 2016 には、Windows OS ベースの仮想マシン (VM) に関してシールドされた VM という概念が導入されました。Windows Server 2016 introduced the concept of a shielded VM for Windows OS-based virtual machines (VMs). VM データが使用されていないときや、信頼されていないソフトウェアが Hyper-V ホストで実行さていれるときに、シールドされた VM は悪意のある管理者アクションからの保護を提供します。Shielded VMs provide protection against malicious administrator actions both when VM’s data is at rest or an untrusted software is running on Hyper-V hosts. 詳細については、こちらを参照してくださいLearn more.

Windows Server 1709 では、Linux のシールドされた VM のプロビジョニングのサポートが Hyper-V に導入されました。With Windows Server 1709, Hyper-V introduces the support for provisioning Linux shielded VMs. 現在、VMM 1801 で使用可能です。This is now available in VMM 1801

Linux VM をシールドする手順Procedure to shield a Linux VM

次の手順に従いますUse the following steps:

  1. 署名されたテンプレート ディスクの作成Create a signed template disk

  2. VMM での Linux のシールドされた VM テンプレートの作成Create a Linux shielded VM template in VMM

  3. シールド データ ファイル (PDK) の生成Generate shielding data file (PDK)

  4. VM テンプレートと PDK を使用した Linux のシールドされた VM の作成Create a Linux shielded VM using the VM template and the PDK.

    注意

    WAP ユーザーは Windows のシールドされた VM と同じように Linux のシールドされた VM をプロビジョニングできます。WAP users can provision Linux shielded VMs in the same manner as Windows shielded VMs.

テンプレート ディスクの作成Create a template disk

テンプレートを最初に作成してから署名する必要があります。You must first create a template and then sign it. 次の手順を実行します。Use the following procedures:

  1. 以下の手順に従ってテンプレート ディスクを作成します。Follow these steps to create the template disk.

  2. Linux イメージの準備 に関するセクションで、lsvmtools をインストールする前に、VMM 特殊化エージェントをインストールします。In Preparing the Linux Image section, before installing the lsvmtools, install the VMM specialization agent.

テンプレート ディスクの署名Sign the template disk

次の手順を使用します。Use the following steps:

  1. 証明書を生成します。Generate a certificate. 自己署名証明書はテストに使用できます。You can use self-signed certificate for testing.

    次のサンプル コマンドレットを使用します。Use the following sample cmdlet:

    
        $cert = New-SelfSignedCertificate -DnsName '<<signing.contoso.com>>'
    
        ```
    
  2. Sign the disk using a Windows Server 1709 machine.

    Use the following sample cmdlet:

    Protect-TemplateDisk -Path “<<Path to the VHDX>>” -TemplateName "<<Template Name>>" -Version <<x.x.x.x>> -Certificate $cert -ProtectedTemplateTargetDiskType PreprocessedLinux
    
    

    注意

    この手順の後に、VMM ライブラリにテンプレート化されたディスクおよび署名されたイメージをコピーします。After this step, copy the templatized disk and the signed image to the VMM Library.

VMM での Linux のシールドされた VM テンプレートの作成Create a Linux Shielded VM template in VMM

  1. VMM コンソールの [ライブラリ] から、[VM テンプレートの作成] をクリックします。From VMM console, Library, click Create VM Template.

  2. [ソースの選択][Use an existing VM template](既存の VM テンプレートを使用する) を選択します。以前に作成されて VMM ライブラリに追加された署名付き VHDX を参照して選択し、[次へ] をクリックします。In Select Source, select Use an existing VM template and browse to select the signed VHDX that was created and added to VMM library earlier and click Next.

  3. [ハードウェアの構成] の構成で、以下のようにします。In Configure Hardware Configuration:

    • [ファームウェア] の下の [Enable secure boot Template](セキュア ブート テンプレートを有効にする) を選択し、セキュア ブート テンプレートのドロップダウン メニューから [OpenSourceShieldedVM] を選択します。Under Firmware, select Enable secure boot Template and select OpenSourceShieldedVM from Secure boot template drop-down menu.

      注意

      このブート テンプレートは、RS3 ホストに新たに追加されました。This boot template is a new addition to RS3 hosts. RS3 ホストが VMM に追加されていないと、セキュア ブート テンプレートのドロップダウンにこのオプションは表示されません。If there are no RS3 hosts already added to VMM, this option wouldn’t show up in the Secure boot templates drop-down.

    • プロセッサ、メモリ、VM ネットワークなどの他のハードウェア プロパティに必要な構成を選択します。Select required configuration for other hardware properties such as processors, memory, VM Network.

      Linux のシールドされた VM のハードウェア構成

  4. オペレーティング システムの構成:In Configure Operating System:

    • [ゲスト OS プロファイル] として [Linux オペレーティング システムのカスタマイズ設定の新規作成] を選択します。Select the Guest OS profile as Create new Linux Operating System customization settings.

    • 先ほど作成したテンプレート ディスクに存在する OS を選択します (Ubuntu Linux)。Select the OS present on the template disk created earlier (Ubuntu Linux).

      オペレーティング システム VM の構成

  5. [次へ] をクリックします。Click Next.

  6. [概要] で詳細を確認し、[Create to finish generation of Linux Shielded VM template in VMM](作成して VMM での Linux のシールドされた VM テンプレートの生成を完了する) をクリックします。In Summary, review the details and click Create to finish generation of Linux Shielded VM template in VMM.

シールド データ ファイル (PDK) の生成Generate the shielding data file (PDK)

開始する前に、次の前提条件が満たされていることを確認します。Before you start, ensure you have the following prerequisites met:

  1. ホスト ガーディアン サービスからガーディアン メタデータを取得します。Get the Guardian metadata from the Host Guardian Service
  2. ボリューム シグネチャ カタログ – VSC ファイルを抽出します。Extract the Volume signature catalog – VSC file

前提条件が満たされた後は、Windows Server 1709 ビルドで次のサンプル スクリプトを実行します。After the prerequisites are met, run the following sample script on Windows Server 1709 build:


#Create a VolumeSignatureCatalog file for the template disk, to ensure the template disk is not being tampered by anyone at the deployment time
# Create owner certificate
$Owner = New-HgsGuardian –Name '<<Owner>>' –GenerateCertificates

# Import the HGS guardian
$Guardian = Import-HgsGuardian -Path <<Import the xml from pre-step 1>> -Name '<<Name of the guardian>>' –AllowUntrustedRoot

# Create the PDK file on Server running Windows Server 1709 build

New-ShieldingDataFile -ShieldingDataFilePath '<<Shielding Data file path>>' -Owner $Owner –Guardian $guardian –VolumeIDQualifier (New-VolumeIDQualifier -VolumeSignatureCatalogFilePath ‘<<Path to the .vsc file generated in pre-step 2>>’ -VersionRule Equals) -AnswerFile <<Path to LinuxOsConfiguration.xml>>' -policy Shielded

VM テンプレートと PDK を使用した Linux のシールドされた VM の作成Create a Linux shielded VM using the VM template and the PDK

  1. VMM コンソールで [バーチャル マシンの作成] ウィザードをクリックします。In VMM Console, click Create Virtual Machine Wizard.
  2. [Use an existing virtual machine, VM template or virtual hard disk](既存の仮想マシン、VM テンプレート、または仮想ハード ディスクを使用する) を選択します。Select Use an existing virtual machine, VM template or virtual hard disk.
  3. [Linux Shielded VM Template](Linux のシールドされた VM テンプレート) を選択して、[次へ] をクリックします。Select Linux Shielded VM Template and click Next. オペレーティング システム VM の構成configure operating system VM
  4. VM の名前を入力し、[次へ] をクリックします。Give the VM a name and click Next.
  5. [ハードウェアの構成] 設定の詳細が、テンプレートの作成中に行った設定に一致していることを確認します。In Configure Hardware settings, ensure the details are conforming to the settings made while creating the template. [次へ] をクリックします。Click Next.
  6. [オペレーティング システムの構成] 設定の詳細が、テンプレートの作成中に行った設定に一致していることを確認します。In Configure Operating System settings, ensure the details are conforming to the settings made while creating the template. [次へ] をクリックします。Click Next.
  7. 前の手順で作成したシールド データ ファイル (PDK) を選択します。Select the shielding data file (PDK) that you created in the earlier step.
  8. 宛先のホスト グループを選択し、[次へ] をクリックします。Select the destination host group and click Next.
  9. VMM の配置エンジンによって指定された評価に基づいて、ホストを選択します。Select the host by the rating given by VMM placement engine. [次へ] をクリックします。Click Next.
  10. [設定の構成] で仮想マシンの設定を確認して、[次へ] をクリックします。In Configure Settings, review the virtual machine settings and click Next.
  11. [プロパティの追加] でアクションを確認して、[次へ] をクリックします。Review the actions in Add properties and click Next.
  12. [Create to create the Linux shielded VM](Linux のシールドされた VM を作成する) をクリックします。Click Create to create the Linux shielded VM.

プロビジョニング中に VMM 特殊化エージェントが PDK で Linux 構成ファイルを読み取り、VM をカスタマイズします。While provisioning, the VMM specialization agent reads the Linux configuration file in PDK and customizes the VM.

次のステップNext steps