VMM ファブリックで Linux のシールドされた仮想マシンをプロビジョニングするProvision a shielded Linux virtual machine in the VMM fabric

この記事では、System Center 1801 - Virtual Machine Manager (VMM) でシールドされた Linux 仮想マシン (VM) をデプロイする方法について説明します。This article describes how to deploy Linux shielded virtual machines (VMs) in System Center 1801 - Virtual Machine Manager (VMM).

Linux VM をシールドする手順Procedure to shield a Linux VM

Windows Server 2016 には、Windows OS ベースの仮想マシンに関してシールドされた VM という概念が導入されました。Windows Server 2016 introduced the concept of a shielded VM for Windows OS-based virtual machines. VM データが使用されていないときや、信頼されていないソフトウェアが Hyper-V ホスト上で実行されているときに、シールドされた VM によって悪意のある管理者アクションから保護できます。Shielded VMs provide protection against malicious administrator actions when the VM's data is at rest or when untrusted software is running on Hyper-V hosts. 詳細については、こちらを参照してくださいLearn more.

Windows Server バージョン 1709 では、シールドされた Linux VM のプロビジョニングのサポートが Hyper-V に導入されました。With Windows Server version 1709, Hyper-V introduced support for provisioning Linux shielded VMs. このサポートは、VMM 1801 で使用できます。This support is available in VMM 1801.

Linux VM のシールドShield a Linux VM

  1. 署名されたテンプレート ディスクを作成します。Create a signed template disk.
  2. VMM でシールドされた Linux VM のテンプレートを作成します。Create a Linux shielded VM template in VMM.
  3. シールド データ ファイル (PDK) を生成します。Generate a shielding data file (PDK).
  4. VM テンプレートと PDK を使ってシールドされた Linux VM を作成します。Create a Linux shielded VM by using the VM template and the PDK.


ワイヤレス アプリケーション プロトコル (WAP) を使う場合は、シールドされた Windows VM をプロビジョニングするのと同じ方法でシールドされた Linux VM をプロビジョニングできます。If you use Wireless Application Protocol (WAP), you can provision Linux shielded VMs in the same way you provision Windows shielded VMs.

テンプレート ディスクを準備するPrepare a template disk

  1. 以下の手順に従ってテンプレート ディスクを作成します。Follow these steps to create the template disk.

  2. 手順の「Preparing a Linux Image (Linux イメージの準備) 」セクションで、lsvmtools をインストールする前に、VMM 特殊化エージェントをインストールしますIn the Preparing a Linux Image section of the directions, before you install lsvmtools, install the VMM specialization agent.

テンプレート ディスクの署名Sign the template disk

  1. 証明書を生成します。Generate a certificate. 自己署名証明書はテストに使用できます。You can use a self-signed certificate for testing.

    次のサンプル コマンドレットを使用します。Use the following sample cmdlet:

        $cert = New-SelfSignedCertificate -DnsName '<<signing.contoso.com>>'
  2. Windows Server 1709 コンピューターを使用して、ディスクに署名します。Sign the disk by using a Windows Server 1709 machine. 次のサンプル コマンドレットを使用します。Use the following sample cmdlet:

    Protect-TemplateDisk -Path "<<Path to the VHDX>>" -TemplateName "<<Template Name>>" -Version <<x.x.x.x>> -Certificate $cert -ProtectedTemplateTargetDiskType PreprocessedLinux
  3. テンプレート ディスクと署名されたイメージを VMM ライブラリにコピーします。Copy the template disk and the signed image to the VMM library.

VMM での Linux のシールドされた VM テンプレートの作成Create a Linux shielded VM template in VMM

  1. VMM コンソール ライブラリで、 [VM テンプレートの作成] を選択します。In the VMM console library, select Create VM Template.

  2. [ソースの選択][Use an existing VM template](既存の VM テンプレートを使用する) を選択します。In Select Source, select Use an existing VM template. 参照して VMM ライブラリに追加した署名されたテンプレート ディスクを選択します。Browse to select the signed template disk that you added to the VMM library. その後、 [次へ] を選択します。Then select Next.

  3. [ハードウェアの構成] で次の操作を行います:In Configure Hardware:

    • [ファームウェア] の下の [Enable secure boot](セキュア ブートを有効にする) を選択します。Under Firmware, select Enable secure boot. [セキュア ブート テンプレート] ドロップダウン メニューから [OpenSourceShieldedVM] を選択します。From the Secure boot template drop-down menu, select OpenSourceShieldedVM.


      このブート テンプレートは、RS3 ホストに新たに追加されました。This boot template is a new addition to RS3 hosts. VMM に RS3 ホストがない場合、このオプションは [セキュア ブート テンプレート] メニューに表示されません。If no RS3 hosts are in VMM, this option won't show up on the Secure boot template menu.

    • プロセッサ、メモリ、VM ネットワークなど、他のハードウェア プロパティに必要な構成を選択します。Select the required configuration for other hardware properties, such as processors, memory, and the VM network.

      シールドされた Linux VM のハードウェア構成

  4. オペレーティング システムの構成:In Configure Operating System:

    • [ゲスト OS プロファイル] として [Linux オペレーティング システムのカスタマイズ設定の新規作成] を選択します。Select the Guest OS profile as Create new Linux operating system customization settings.

    • 先ほど作成したテンプレート ディスク上の OS を選択します (Ubuntu Linux)。Select the OS on the template disk that you created earlier (Ubuntu Linux).

      VM テンプレートのオペレーティング システムの構成

  5. [次へ] を選択します。Select Next.

  6. [概要] で詳細を確認し、 [Create to finish generation of Linux shielded VM template in VMM](作成して VMM でのシールドされた Linux VM のテンプレートの生成を完了する) をクリックします。In Summary, review the details and select Create to finish generation of Linux shielded VM template in VMM.

シールド データ ファイルを生成するGenerate the shielding data file

シールド データ ファイル (PDK) を生成する前に:Before you generate the shielding data file (PDK):

  1. ホスト ガーディアン サービス (HGS) からガーディアン メタデータを取得しますGet the guardian metadata from the Host Guardian Service (HGS).
  2. ボリューム シグネチャ カタログ (VSC) ファイルを抽出しますExtract the volume signature catalog (VSC) file.

PDK を生成するには、Windows Server バージョン 1709 を稼働しているサーバー上で次のサンプル スクリプトを実行します。To generate the PDK, run the following sample script on a server that's running Windows Server version 1709:

# Create a VolumeSignatureCatalog file for the template disk to ensure that no one tampers with the template disk at the deployment time
# Create an owner certificate
$Owner = New-HgsGuardian –Name '<<Owner>>' –GenerateCertificates

# Import the HGS guardian
$Guardian = Import-HgsGuardian -Path <<Import the xml from pre-step 1>> -Name '<<Name of the guardian>>' –AllowUntrustedRoot

# Create the PDK file on a server running Windows Server version 1709

New-ShieldingDataFile -ShieldingDataFilePath '<<Shielding Data file path>>' -Owner $Owner –Guardian $guardian –VolumeIDQualifier (New-VolumeIDQualifier -VolumeSignatureCatalogFilePath '<<Path to the .vsc file generated in pre-step 2>>' -VersionRule Equals) -AnswerFile '<<Path to LinuxOsConfiguration.xml>>' -policy Shielded

VM テンプレートと PDK を使ってシールドされた Linux VM を作成するCreate a Linux shielded VM by using the VM template and the PDK

  1. VMM コンソールで [バーチャル マシンの作成] を選択します。In the VMM console, select Create Virtual Machine.

  2. [既存のバーチャル マシン、VM テンプレート、またはバーチャル ハード ディスクを使用する] を選択します。Select Use an existing virtual machine, VM template, or virtual hard disk.

  3. [Linux shielded VM template](シールドされた Linux VM テンプレート) > [次へ] の順に選択します。Select Linux shielded VM template > Next.

    新しいバーチャル マシンのソースの選択

  4. VM の名前を指定して、 [次へ] を選択します。Name the VM and select Next.

  5. [ハードウェアの構成] で、詳細が自分のテンプレートの設定と一致していることを確認します。In Configure Hardware, make sure the details match your template settings. その後、 [次へ] を選択します。Then select Next.

  6. [オペレーティング システムの構成] 設定の詳細が、テンプレートを作成したときに行った設定と一致していることを確認します。In Configure Operating System settings, ensure the details conform to the settings you made when you created the template. その後、 [次へ] を選択します。Then select Next.

  7. 作成したシールド データ ファイル (PDK) を選択します。Select the shielding data file (PDK) that you created.

  8. 宛先のホスト グループを選択して、 [次へ] を選択します。Select the destination host group and then select Next.

  9. VMM の配置エンジンによって指定された評価に基づいて、ホストを選択します。Select the host by the rating that the VMM placement engine gave. その後、 [次へ] を選択します。Then select Next.

  10. [設定の構成] で仮想マシンの設定を確認して、 [次へ] を選択します。In Configure Settings, review the virtual machine settings and select Next.

  11. [プロパティの追加] でアクションを確認して、 [次へ] を選択します。Review the actions in Add properties and select Next.

  12. シールドされた Linux VM を作成するには、 [作成] を選択します。To create the Linux shielded VM, select Create.

VM のプロビジョニング中に、VMM 特殊化エージェントにより Linux 構成ファイルの PDK を読み取り、VM をカスタマイズします。While provisioning the VM, the VMM specialization agent reads the Linux configuration file PDK and customizes the VM.

次のステップNext steps