Configurar um disco e um modelo de VM para implantar VMs blindadas

Implante máquinas virtuais blindadas na malha de computação do System Center – VMM (Virtual Machine Manager) usando um VHDX (disco rígido de máquina virtual) assinado e, opcionalmente, com um modelo de VM. Este artigo descreve como adicionar discos de modelo assinados ao VMM, configurar um disco utilitário de blindagem, implantar novas VMs blindadas e converter as VMs existentes em VMs blindadas no VMM.

Antes de começar

• O disco de modelo assinado usado para criar o modelo de VM blindada deve ter a família e a versão marcadas.
• A biblioteca do VMM à qual adicionar o disco de modelo assinado deve ser acessível para nuvens das quais VMs blindadas serão provisionadas.
• A biblioteca compartilhada deve ser adicionada a nuvens das quais VMs blindadas serão provisionadas (não no modo somente leitura).

Adicionando discos de modelo assinado para VMs blindadas à biblioteca do VMM

VMs blindadas podem ser implantadas de duas maneiras: diretamente de um disco de modelo assinado ou convertendo uma VM existente em uma VM blindada.

Os discos de modelo assinado garantem aos locatários que o conteúdo do disco não foi modificado e permitem que os locatários transfiram segredos de implantação com segurança, como senhas de administrador e certificados para a VM de maneira criptografada. Por esse motivo, é preferível implantar VMs blindadas de discos de modelo assinados.

Para preparar e adicionar um disco de modelo assinado à biblioteca do VMM, conclua as seguintes etapas:

1. Prepare um disco de modelo assinado em um computador executando Windows Server 2016 ou 2019 com Experiência Desktop ou posterior, ou Windows 10 ou Windows 11 com as Ferramentas de Administração de Servidor Remoto instaladas.

2. Copie o disco do modelo para um compartilhamento da biblioteca (\\vmmserver>\MSSCVMMLibrary\VHDs por padrão) e atualize o servidor de biblioteca.

3. Para fornecer ao VMM informações sobre o sistema operacional no modelo de disco, em Biblioteca, clique no disco > Propriedades.

4. Em Sistema operacional, selecione o sistema operacional instalado no disco. Isso indica ao VMM que o VHDX não está vazio. O ícone de escudo ao lado do nome do disco indica-o como um modelo de disco assinados para VMs blindadas. Forneça as informações sobre a Família e a Versão do disco também para disponibilizar os recursos no portal de autoatendimento do Azure Pack de locatário (opcional).

   

5. Selecione OK para salvar as propriedades do disco de modelo assinado.

Criar um modelo de VM blindado

Opcionalmente, você pode criar um modelo de VM blindado usando um disco de modelo assinado. Modelos de VM definem recursos de máquina virtual, como contagem de CPU, RAM e rede para um disco do sistema operacional.

Modelos de VM blindada diferem ligeiramente de um modelo de VM comum. Algumas configurações são fixas; Por exemplo, a VM deve ser uma VM de Geração 2 com Inicialização Segura habilitada. Crie o modelo de VM da seguinte maneira:

1. Selecione Biblioteca>Criar Modelo de VM. Em Selecionar Origem, selecione Usar um modelo de VM existente ou um disco rígido virtual armazenado na biblioteca >Procurar.
2. Selecione o disco de modelo assinado, especifique um nome de modelo e uma descrição opcional e selecione OK.
3. Em Configurar Hardware, especifique as propriedades de hardware para as VMs criadas com base no modelo. Verifique se há pelo menos uma NIC configurada e disponível. Os locatários se conectam às VMs blindadas através de Conexão de Área de Trabalho Remota, Gerenciamento Remoto do Windows ou outras ferramentas de gerenciamento remoto que exigem rede.
4. Se você quiser usar endereçamento de IP estático no pool de locatários, informe aos seus locatários. Os locatários precisam fornecer um arquivo de resposta com valores, que são especializados em uma VM blindada para eles. Há valores de espaço reservado especiais e conhecidos, necessários para dar suporte a pools de IP estático.
5. Em Configurar Sistema Operacional, especifique a versão do sistema operacional, o nome do computador, a chave do produto (Product Key) e o fuso horário. O locatário fornece informações seguras, como a senha do administrador em um arquivo de dados de blindagem (. PDK), que eles fornecerão ao provisionar uma nova VM. Se você especificar uma chave do produto (Product Key), verifique se ela é válida para o sistema operacional no disco de modelo. Se não estiver, a VM não será provisionada com êxito. Depois que o modelo de VM for criado, verifique se ele está disponível para a função de usuário Administrador de Locatários. Assim, os locatários poderão usá-lo para provisionar novas VMs.

Configurar o VHD do auxiliar de blindagem

As VMs existentes do Windows também podem ser convertidas em VMs blindadas com o uso de um VHD auxiliar de blindagem. O VHD do auxiliar é um disco especial preparado com ferramentas para criptografar outra unidade do sistema operacional da VM. O VMM deve ser configurado com um VHD auxiliar antes que você possa proteger as VMs existentes.

1. Preparar um VHD do auxiliar em um computador com Windows Server 2016 ou Windows 10, com as Ferramentas de Administração de Servidor Remoto instaladas.
2. Copie o VHD do auxiliar em um compartilhamento de biblioteca e atualize o servidor de biblioteca.
3. No console do VMM, selecione Configurações Configurações> doServiço Guardião de Host.
4. Na seção VHD auxiliar de blindagem, selecione Procurar e selecione o VHD auxiliar na lista de arquivos nos compartilhamentos de biblioteca.
5. Selecione Concluir para salvar a configuração.

Com o VHD do auxiliar de blindagem configurado, você pode continuar a proteger uma VM existente.

Próximas etapas

Examine Provisionar VMs blindadas para entender como implantar máquinas virtuais blindadas em uma malha de computação do VMM.