VMM ファブリックにシールドされた仮想マシンをプロビジョニングするProvision shielded virtual machines in the VMM fabric

この記事では、System Center - Virtual Machine Manager (VMM) コンピューティング ファブリックにシールドされた仮想マシンを展開する方法について説明します。This article describes how to deploy shielded virtual machines in the System Center - Virtual Machine Manager (VMM) compute fabric.

シールドされた VM は、次のいくつかの方法で VMM に展開できます。You can deploy shielded VMs in VMM in a couple of ways:

  • 既存の VM をシールドされた VM に変換します。Convert an existing VM into a shielded VM.
  • 署名済み仮想マシンのハード ディスク (VHDX)、および必要に応じて VM テンプレートを使用して、新しいシールドされた VM を作成します。Create a new shielded VM using a signed virtual machine hard disk (VHDX), and optionally a VM template.

開始する前にBefore you start

VMM にシールドされた VM のプロビジョニングを 2 分で理解できる概要のビデオを見ますWatch a video that provides a quick, two-minute overview of provisioning shielded VMs in VMM. 次に、以下が完了していることを確認します。Then, make sure you've done the following:

  1. HGS サーバーを準備する:HGS サーバーが展開されている必要があります。Prepare an HGS server: You should have an HGS server deployed. 詳細については、こちらを参照してくださいLearn more.

  2. VMM を設定する:VMM で、グローバル HGS 設定を構成して、保護されたホストを少なくとも 1 つ設定する必要があります。Set up VMM: You need to configure global HGS settings in VMM, and set up at least one guarded host. 保護されたホストがクラウドにある場合、クラウドでシールドされた VM をサポートするようにする必要があります。If guarded hosts belong to a cloud, the cloud should be enabled to support shielded VMs. 詳細については、こちらを参照してくださいLearn more.

  3. シールドされた VHDX と VM テンプレートを準備する:シールドされたバーチャル ハード ディスク (VHDX)、および必要に応じて VM テンプレートを使用して、シールドされた VM を展開します。Prepare a shielded VHDX and VM template: You deploy shielded VMs from a shielded virtual hard disk (VHDX), optionally using a VM template. これらの準備の詳細については、こちらを参照してくださいLearn more about preparing these.

    注意

    サービス テンプレートを使用してシールドされた VM を作成することはできません。You cannot use a service template to create a shielded VM. 代わりにスクリプトを使用します。Use a script instead.

  4. シールドされたデータ ファイルを準備する:VMM ライブラリで署名されたテンプレート ディスクを使用するには、テナントでシールド データ ファイルを 1 つまたは複数準備する必要があります。Prepare shielding data files: To use the signed template disks in the VMM library, tenants must prepare one or more shielding data files. このファイルには、VM を特殊化するために使用する無人セットアップ ファイル、証明書、管理者アカウントのパスワードを含む、テナントが VM を展開するために必要な機密情報がすべて含まれています。This file contains all the secrets that a tenant needs to deploy a VM, including the unattend file used to specialize the VM, certificates, administrator account passwords. このファイルには、VM のホストにテナントが信頼している保護されたファブリック、また署名されたテンプレート ディスクについての情報が指定されています。The file also specifies which guarded fabric a tenant trusts to host their VM and information about the signed template disks. このファイルは暗号化されており、テナントによって信頼されている保護されたファブリック内のホストからのみ読み取ることができます。The file is encrypted and can only be read by a host in a guarded fabric trusted by the tenant. 詳細については、こちらを参照してくださいLearn more.

  5. ホスト グループを設定する:管理を容易にするには、保護されたホストを専用の VMM ホスト グループに置くことをお勧めします。Set up host group: For easy management, we recommend that guarded hosts be placed in a dedicated VMM host group.

  6. 既存の VM の要件を確認する:既存の VM をシールドに変換する場合、次のことを念頭に置く必要があります。Verify existing VM requirements: If you want to convert an existing VM to shielded, note the following:

    • VM は第 2 世代である必要があり、その Microsoft Windows セキュア ブート テンプレートを有効する必要があります。The VM must be generation 2 and have the Microsoft Windows Secure Boot template enabled
    • ディスク上のオペレーティング システムは、次のいずれかとする必要があります。The operating system on the disk must be one of:
    • Windows Server 2016、Windows Server 2012 R2、Windows Server 2012Windows Server 2016, Windows Server 2012 R2, Windows Server 2012
    • Windows 10、Windows 8.1、Windows 8Windows 10, Windows 8.1, Windows 8
    • VM の OS ディスクでは、GUID パーティション テーブルを使用している必要があります。The OS disk for the VM must use GUID Partition Table. 第 2 世代の VM が UEFI をサポートするには、これが必要です。This is required for generation 2 VMs to support UEFI.
  7. ヘルパー VHD を設定する:ホスティング サービス プロバイダーは、既存のマシンを変換するヘルパー VHD として機能する VM を作成する必要があります。Set up helper VHD: The hosting service provider will need to create a VM that acts as a helper VHD for converting existing machines. 詳細については、こちらを参照してくださいLearn more.

シールド データ ファイルを VMM に追加するAdding shielding data files to VMM

既存の VM をシールドされた VM に変換する場合、またはテンプレートから新しいシールドされた VM をプロビジョニングする場合、VM 所有者は事前にシールド データ ファイルを生成し、それを VMM に追加しておく必要があります。Before you can convert an existing VM to a shielded VM or provision a new shielded VM from a template, the VM owner must generate a shielding data file and add it to VMM.

シールド データ ファイルがまだインポートされていない場合は、次の手順を実行します。If you do not already have a shielding data file imported, complete the following steps:

  1. シールド データ ファイルを作成します (まだお持ちでない場合)。Create a shielding data file if you don't already have one. シールド データ ファイルにより、VMM で管理されるホスティング ファブリックが、シールドされた VM を実行できるようになることを確認します。Make sure the shielding data file authorizes the hosting fabric VMM manages to run your shielded VMs.
  2. VMM コンソールで、 [ライブラリ] > [シールド データのインポート] > [参照] の順にクリックし、シールド データ ファイルを選択します。In the VMM console, click Library > Import Shielding Data > Browse and select your shielding data file.
  3. [名前] にシールド データ ファイルのフレンドリ名を指定し、必要に応じて説明を加えます。Specify a friendly name for the shielding data file in Name and optionally add a description. シールド データ ファイルを再び探すときに簡単に見つかるように、その名前には既存の VM と新規の VM のどちらでの使用を意図したものであるのかを明示しておくことをお勧めします。It is recommended that you indicate whether the shielding data file is intended for use with existing or new VMs in its name to make it easier to find again.
  4. VMM で [インポート] をクリックしてシールド データを保存します。Click Import to save the shielding data in VMM.

インポートしたシールド データ ファイルを管理するには、 [ライブラリ] > [VM シールド データ] ([プロファイル] の下にある) の順に進みます。To manage your imported shielding data files, go to Library > VM Shielding Data (under "Profiles").

シールドされる新しい VM のプロビジョニングProvision a new shielded VM

  1. 開始する前に前提条件を満たしていることを確認します。Make sure you have all the prerequisites in place before you start.
  2. [VM とサービス][バーチャル マシンの作成] をクリックして、バーチャル マシンの作成ウィザードを開きます。In VMs and Services, click Create Virtual Machine to open the Create Virtual Machine Wizard.
  3. [ソースの選択] で、 [既存の仮想マシン、VM テンプレート、またはバーチャル ハード ディスクを使用する] > [参照] の順にクリックします。In Select Source, click Use an existing virtual machine, VM template, or virtual hard disk > Browse.
  4. シールドされた VM テンプレートまたは署名付きテンプレート ディスクを選択します。Select a shielded VM template or signed template disk. 両方ともシールド アイコンで識別されるBoth are identified by the shield icon VMM のシールド アイコン.
  5. [シールド データ ファイルの選択][参照] をクリックし、シールド データ ファイルを選択します。In Select Shielding Data File, click Browse and select a shielding data file. 新しいシールドされた VM の作成で使用できるシールド データ ファイルのみが表示されます。Only shielding data files that can be used to create a new shielded VM will be shown. [OK] > [次へ] の順にクリックして続行します。Click OK > Next to continue.
  6. ウィザードを完了し、ホストまたはクラウドに VM を展開するには、これらの手順に従います。Follow these instructions to complete the wizard, and to deploy the VM on a host/cloud.

ウィザードが完了すると、VMM によりディスクまたはテンプレートから新しいシールドされた VM が作成されます。When you complete the wizard, VMM creates a new shielded VM from the disk or template:

  1. VMM ライブラリからテンプレート ディスク (VHDX) ファイルがコピーされます。The template disk (VHDX) file is copied from the VMM library
  2. VM をプロビジョニングすると、シールド データ ファイルのデータが暗号化解除され、unattend.xml ファイルの代替文字列が補完され、シールド データ ファイルから (RDP 証明書など) その他のファイルがオペレーティング システム ドライブにコピーされます。VM provisioning decrypts the data in the shielding data file, completes any substitution strings in the unattend.xml file, and copies additional files from the shielding data file to the operating system drive (for example, the RDP certificate).
  3. VM が再起動され、カスタマイズされ、BitLocker により再暗号化されます。The VM restarts, is customized, and re-encrypted with BitLocker. BitLocker のボリューム全体の暗号化キーは、新しい VM の仮想の TPM に格納されます。The BitLocker full volume encryption key is stored in the virtual TPM of the new VM.
  4. Unattend.xml ファイルのシャットダウン コマンドが実行されると、VM のカスタマイズは完了です。VM の電源はオフのままです。VM customization is complete when the shutdown command in the unattend.xml file runs, the VM remains switched off. カスタマイズで停止してしまう場合は、unattend.xml ファイルを確認します。確認方法として、シールドされていない VM 上で unattend.xml を実行するか、またはコンソールでアクセスできる暗号化がサポートされたシールド データ ファイルを使用します。If customization gets stuck, check the unattend.xml file by running it on an unshielded VM, or using an encryption-supported shielding data file that allows console access.
  5. VMM は特殊化の完了を検出すると、ステータスを更新して、VM が作成されたことを示します。VM を選択すると、起動されます。After VMM detects that specialization has finished, it will update its status to indicate the VM is created and, if selected, start up the VM.

既存の VM をシールドするShield an existing VM

保護されていない VMM ファブリック内のホストで現在実行されている VM でシールドを有効にできます。You can enable shielding for a VM currently running on a host in the VMM fabric that isn't guarded.

  1. 開始する前に前提条件を満たしていることを確認します。Ensure you have all the prerequisites in place before you start.
  2. VM をオフラインにします。Take the VM offline.
  3. 保護されているディスクに移動する前に、VM に接続されているすべてのディスクで、BitLocker を有効にすることをお勧めします。We recommend that you enable BitLocker on all disks attached to the VM before moving it to the guarded host.
  4. [VM] > [プロパティ] > [シールド] の順に選択し、シールド データ ファイルを選択します。Select the VM > Properties > Shield, and select a shielding data file.
  5. VM をシャットダウンし、保護されていないホストからエクスポートし、保護されているホストにインポートします。Shut down the VM, export from non-guarded host, and import it to a guarded host. VM のデータには保護されているホストのみがアクセスできます。Only a guarded host can access the VM data.

次のステップNext steps

VM のパフォーマンスおよび可用性の設定を構成する方法については、「VM 設定の管理」を参照してください。Review Manage virtual machine settings to learn how to configure performance and availability settings for VMs.