Share via

Provisionar máquinas virtuais blindadas na malha do VMM

  • Artigo

Importante

Esta versão do VMM (Virtual Machine Manager) chegou ao fim do suporte. Recomendamos que você atualize para o VMM 2022.

Este artigo descreve como implantar máquinas virtuais blindadas na malha de computação do System Center – VMM (Virtual Machine Manager).

Você pode implantar VMs blindadas no VMM de duas maneiras:

  • Converter uma VM existente em uma VM blindada.
  • Crie uma nova VM blindada usando um VHDX (disco rígido de máquina virtual) assinado e, opcionalmente, um modelo de VM.

Observação

Você pode enfrentar problemas ao implantar uma máquina virtual blindada em uma rede com um balanceador de carga ou um dispositivo de otimização wan. É necessário que o pacote não seja modificado durante o trânsito para que as VMs blindadas sejam implantadas com êxito.

Antes de começar

Assista a um vídeo que fornece uma visão rápida de dois minutos do provisionamento de VMs blindadas no VMM. Em seguida, verifique se você fez o seguinte:

  1. Prepare um servidor HGS: você deve ter um servidor HGS implantado. Saiba mais.

  2. Configure o VMM: você precisa definir as configurações globais do HGS no VMM e configurar pelo menos um host protegido. Se os hosts protegidos pertencerem a uma nuvem, a nuvem deverá ser habilitada para dar suporte a VMs blindadas. Saiba mais.

  3. Preparar um VHDX blindado e um modelo de VM: você deve implantar VMs blindadas de um VHDX (disco rígido virtual) blindado e, opcionalmente, usar um modelo de VM. Saiba mais sobre como prepará-los.

    Observação

    Não é possível usar um modelo de serviço para criar uma VM blindada. Use um script.

  4. Prepare os arquivos de dados blindados: para usar os discos de modelo assinado na biblioteca do VMM, os locatários devem preparar um ou mais arquivos de dados de blindagem. Esse arquivo contém todos os segredos de que um locatário precisa para implantar uma VM, incluindo o arquivo autônomo usado para especializar as senhas da VM, dos certificados e da conta de administrador. O arquivo também especifica em qual malha protegida um locatário confia para hospedar sua VM e informações sobre os discos de modelo assinado. O arquivo está criptografado e só pode ser lido por um host em uma malha protegida confiada pelo locatário. Saiba mais.

  5. Configure o grupo de hosts: para facilitar o gerenciamento, é recomendável que os hosts protegidos sejam colocados em um grupo de hosts dedicado do VMM.

  6. Verifique os requisitos de VM existentes: se você desejar converter uma VM existente em blindada, observe o seguinte:

    • A VM deve ser da geração 2 e ter o modelo de inicialização segura do Microsoft Windows habilitado
    • O sistema operacional no disco deve ser um destes:
    • Windows Server 2016, Windows Server 2012 R2 e Windows Server 2012
    • Windows 10, Windows 8.1, Windows 8
    • O disco do sistema operacional para a VM deve usar a Tabela de Partição GUID. Isso é necessário para que as máquinas virtuais da geração 2 deem suporte à UEFI.
    • A VM deve ser da geração 2 e ter o modelo de inicialização segura do Microsoft Windows habilitado
    • O sistema operacional no disco deve ser um destes:
    • Windows Server 2016, Windows Server 2012 R2 e Windows Server 2012
    • Windows 10
    • O disco do sistema operacional para a VM deve usar a tabela de partição GUID. Isso é necessário para que as máquinas virtuais da geração 2 deem suporte à UEFI.
    • A VM deve ser da geração 2 e ter o modelo de inicialização segura do Microsoft Windows habilitado
    • O sistema operacional no disco deve ser um destes:
      • Windows Server 2022, Windows Server 2019, Windows Server 2016
      • Windows 11, Windows 10
    • O disco do sistema operacional para a VM deve usar a Tabela de Partição GUID. Isso é necessário para que as máquinas virtuais da geração 2 deem suporte à UEFI.

  7. Configurar o VHD auxiliar: o provedor de serviços de hospedagem precisará criar uma VM que atue como um VHD auxiliar para converter os computadores existentes. Saiba mais.

Adicionando arquivos de dados de blindagem ao VMM

Antes de converter uma VM existente em uma VM blindada ou provisionar uma nova VM blindada de um modelo, o proprietário da VM deve gerar um arquivo de dados de blindagem e adicioná-lo ao VMM.

Se você ainda não tiver um arquivo de dados de blindagem importado, conclua as seguintes etapas:

  1. Criar um arquivo de dados de blindagem se você ainda não tiver um. Verifique se o arquivo de dados de blindagem autoriza o VMM de malha de hospedagem a executar suas VMs blindadas.
  2. No console do VMM, selecione Biblioteca> Importar Dados deBlindagem>Procurar e selecione o arquivo de dados de blindagem.
  3. Especifique um nome amigável para o arquivo de dados de blindagem em Nome e, opcionalmente, adicione uma descrição. Recomendamos que você indique se o arquivo de dados de blindagem destina-se a ser usado com as VMs novas ou existentes em seu nome para facilitar a localização novamente.
  4. Selecione Importar para salvar os dados de blindagem no VMM.

Para gerenciar seus arquivos de dados de blindagem importados, vá para BibliotecaDados de Blindagem de VM (em "Perfis").

Provisionar uma nova VM blindada

  1. Verifique se você tem todos os pré-requisitos em vigor antes de começar.
  2. Em VMs e Serviços, selecione Criar Máquina Virtual para abrir o Assistente para Criar Máquina Virtual.
  3. Em Selecionar Origem, selecioneUsar uma máquina virtual existente, um modelo de VM ou um disco> rígido virtualProcurar.
  4. Selecione um modelo de VM blindada ou disco de modelo assinado. Ambos são identificados pelo ícone de escudo Imagem do Ícone de Escudo no VMM..
  5. Em Selecionar Arquivo de Dados de Blindagem, selecione Procurar e selecione um arquivo de dados de blindagem. Apenas arquivos de dados de blindagem que podem ser usados para criar uma nova VM blindada serão exibidos. Selecione OK>Avançar para continuar.
  6. Execute estas instruções para concluir o assistente e implantar a VM em um host/em uma nuvem.

Quando você concluir o assistente, o VMM cria uma nova VM blindada do disco ou do modelo:

  1. O arquivo VHDX (de disco de modelo) é copiado da biblioteca do VMM
  2. O provisionamento da VM descriptografa os dados no arquivo de dados de blindagem, preenche as cadeias de caracteres de substituição no arquivo unattend.xml e copia arquivos adicionais do arquivo de dados de blindagem para a unidade do sistema operacional (por exemplo, o certificado RDP).
  3. A VM é reiniciada, personalizada e criptografada novamente com o BitLocker. A chave de criptografia de volume completo do BitLocker é armazenada no TPM virtual da nova VM.
  4. A personalização da VM é concluída quando o comando de desligamento no arquivo unattend.xml é executado; a VM permanece desativada. Se a personalização ficar presa, verifique o arquivo unattend.xml executando-o em uma VM não blindada ou usando um arquivo de dados de blindagem com suporte à criptografia que permita acesso ao console.
  5. Quando o VMM detecta que a especialização foi concluída, ele atualiza o status para indicar que a VM foi criada e, se selecionado, inicia a VM.

Blindar uma VM existente

Você pode habilitar a blindagem de uma VM em execução no momento em um host, na malha do VMM que não está protegida.

  1. Verifique se você tem todos os pré-requisitos em vigor antes de começar.
  2. Pegue a VM offline.
  3. É recomendável que você habilite o BitLocker em todos os discos conectados à VM antes de movê-la para o host protegido.
  4. Selecione VM >>>> e selecione um arquivo de dados de proteção.
  5. Desligar a VM, exporte-a do host não protegido e importe-a para um host protegido. Apenas um host protegido pode acessar os dados da VM.

Próximas etapas

Examine Gerenciar as configurações de máquina virtual para saber como definir as configurações de desempenho e disponibilidade de VMs.