シールドされた VM をデプロイするためのディスクと VM テンプレートを設定する

シールドされた仮想マシンは、署名付き仮想マシン ハード ディスク (VHDX) を使用し、必要に応じて VM テンプレートを使用して、System Center - Virtual Machine Manager (VMM) コンピューティング ファブリックにデプロイします。 この記事では、署名されたテンプレート ディスクを VMM に追加し、シールド ユーティリティ ディスクを構成し、新しいシールドされた VM を展開し、既存の VM を VMM のシールドされた VM に変換する方法について説明します。

アップグレードを開始する前に

• シールドされた VM テンプレートの作成に使用する署名付きテンプレート ディスクは、ファミリとバージョンがマークされている必要があります。
• 署名付きテンプレート ディスクを追加する VMM ライブラリは、シールドされた VM がプロビジョニングされるクラウドにアクセスできる必要があります。
• 共有ライブラリを、シールドされた VM がプロビジョニングされるクラウドに追加する必要があります(読み取り専用モードではなく)。

シールドされた VM 用の署名付きテンプレート ディスクを追加する

シールドされた VM は次の 2 つの方法で展開できます。署名付きテンプレート ディスクから直接展開する方法と、既存の VM からシールドされた VM に変換する方法です。

署名付きテンプレート ディスクを使用すると、ディスクの内容が変更されていないことがテナントに保証され、テナントは管理者パスワードや証明書などのデプロイ シークレットを暗号化された方法で VM に安全に転送できます。 このため、署名されたテンプレート ディスクからシールドされた VM をデプロイすることをお勧めします。

署名付きテンプレート ディスクを準備し、VMM ライブラリに追加するには、次の手順を実行します。

1. デスクトップ エクスペリエンス以降、またはリモート サーバー管理ツールがインストールされているWindows 10またはWindows 11を使用して、Windows Server 2016または 2019 を実行しているコンピューターに署名付きテンプレート ディスクを準備します。

2. テンプレート ディスクをライブラリ共有 (既定では \\vmmserver>\MSSCVMMLibrary\VHDs) にコピーし、ライブラリ サーバーを更新します。

3. VMM にテンプレート ディスク上のオペレーティング システムに関する情報を入力するには、[ライブラリ] で、ディスクを右クリックして [プロパティ] に進みます。

4. [オペレーティング システム] で、ディスクにインストールされているオペレーティング システムを選択します。 これは、VHDX が空ではないことを VMM に示しています。 ディスク名の横にあるシールド アイコンは、それをシールドされた VM の署名済みテンプレート ディスクとして表します。 ディスクの ファミリ と リリース に関する情報を指定し、テナントの Azure Pack セルフサービス ポータルでリソースを使用できるようにします (省略可能)。

   

5. [ OK] を選択 して、署名されたテンプレート ディスクのプロパティを保存します。

シールドされた VM テンプレートを作成する

シールドされた VM テンプレートは、必要に応じて、署名付きテンプレート ディスクを使用して作成できます。 VM テンプレートでは、CPU の数、RAM、OS ディスクのネットワークなど、仮想マシンのリソースを定義します。

シールドされた VM のテンプレートは、標準の VM テンプレートと若干異なります。 一部の設定は修正されています。たとえば、VM は、セキュア ブートが有効になっている第 2 世代 VM である必要があります。 次のように VM テンプレートを作成します。

1. [ライブラリ]> [VM テンプレートの作成] を選択します。 [ソースの選択] で、[ライブラリ>参照] に格納されている既存の VM テンプレートまたは仮想ハード ディスクを使用する] を選択します。
2. 署名されたテンプレート ディスクを選択し、テンプレート名とオプションの説明を指定して、[ OK] を選択します。
3. [ ハードウェアの構成] で、テンプレートから作成する VM のハードウェア プロパティを指定します。 少なくとも 1 つの NIC が構成され、使用可能であることを確認します。 テナントは、リモート デスクトップ接続、Windows リモート管理など、ネットワークを必要とするリモート管理ツールを通じてシールドされた VM に接続します。
4. テナント プール内の静的 IP アドレスを使用する場合は、テナントが理解できるようにする必要があります。 テナントは、値を含む応答ファイルを提供する必要があります。これは、シールドされた VM を専門としています。 静的 IP プールのサポートには、既知の特別なプレース ホルダー値が必要です。
5. [ オペレーティング システムの構成] で、OS のバージョン、コンピューター名、プロダクト キー、タイム ゾーンを指定します。 テナントは、シールド データ ファイル内の管理者パスワードなどのセキュリティで保護された情報を提供します (。PDK)、新しい VM をプロビジョニングするときに提供されます。 プロダクト キーを指定する場合は、テンプレート ディスク上のオペレーティング システムに対して有効であることを確認します。 そうでない場合、VM は正常にプロビジョニングされません。 VM テンプレートが作成されたら、テナント管理者ユーザー ロールで VM テンプレートを使用できることを確認します。 テナントは、次にそれを使用し、新しい VM をプロビジョニングできます。

シールド ヘルパー VHD を構成する

既存の Windows VM は、シールド ヘルパー VHD を使用してシールドされた VM に変換することもできます。 ヘルパー VHD は、別の VM のオペレーティング システム ドライブを暗号化するためにツールを使用して準備される特殊なディスクです。 既存の VM をシールドする前に、VMM をヘルパー VHD で構成する必要があります。

1. Windows Server 2016 またはリモート サーバー管理ツールを備えた Windows 10 を実行しているコンピューター上で、ヘルパー VHD を準備します。
2. ライブラリ共有にヘルパー VHD をコピーして、ライブラリ サーバーを更新します。
3. VMM コンソールで、[設定][ホスト ガーディアン サービスの設定>] の順に選択します。
4. [シールド ヘルパー VHD] セクションで、[ 参照 ] を選択し、ライブラリ共有内のファイルの一覧からヘルパー VHD を選択します。
5. [完了] を選択して構成を保存します。

シールド ヘルパー VHD が構成されると、既存の VM のシールド化に進むことができます。

次のステップ

シールドされた仮想マシンを VMM コンピューティング ファブリックに展開する方法については、「VMM ファブリックにシールドされた仮想マシンをプロビジョニングする」を参照してください。