Распределение защищенных узлов в VMMProvision guarded hosts in VMM

Важно!

Поддержка этой версии Virtual Machine Manager (VMM) прекращена. Рекомендуем перейти на VMM 2019.This version of Virtual Machine Manager (VMM) has reached the end of support, we recommend you to upgrade to VMM 2019.

В этой статье описывается развертывание защищенных узлов Hyper-V в вычислительной структуре System Center Virtual Machine Manager (VMM).This article describes how to deploy guarded Hyper-V hosts in a System Center - Virtual Machine Manager (VMM) compute fabric. Дополнительные сведения о защищенной структуре см. здесь.Learn more about guarded fabric..

Существует два способа настройки защищенных узлов Hyper-V в структуре VMM.There are a couple of ways to set up guarded Hyper-V hosts in a VMM fabric.

  • Защита существующего узла: существующий узел можно настроить для запуска экранированных виртуальных машин.Configure an existing host to be a guarded host: You can configure an existing host to run shielded VMs.
  • Добавление или распределение нового защищенного узла. В качестве этого узла можно использовать следующее:Add or provision a new guarded host: This host could be:
    • Существующий компьютер Windows Server (с ролью Hyper-V или без нее)An existing Windows Server computer (with or without the Hyper-V role)
    • Компьютер без операционной системыA bare-metal computer

Защищенные узлы в структуре VMM настраиваются следующим образом:You set up guarded hosts in the VMM fabric as follows:

  1. Настройка глобальных параметров HGS: VMM подключает все защищенные узлы к одному и тому же серверу HGS, чтобы можно было успешно переносить экранированные виртуальные машины между узлами.Configure global HGS settings: VMM connects all guarded hosts to the same HGS server so that you can successfully migrate shielded VMs between the hosts. Необходимо задать глобальные параметры HGS, которые актуальны для всех защищенных узлов, хотя можно задать и параметры для конкретных узлов, которые переопределяют глобальные параметры.You specify global HGS settings that apply to all guarded hosts, although you can specify host-specific settings that override the global settings. Используются следующие параметры.Settings include:

    • URL-адреса аттестации: URL-адрес, используемый узлом для подключения к службе аттестации HGS.Attestation URL: The URL that the host uses to connect to the HGS attestation service. Эта служба авторизует узел для запуска экранированных виртуальных машин.This service authorizes a host to run shielded VMs.
    • URL-адрес сервера защиты ключей: URL-адрес, используемый узлом для извлечения ключа, необходимого для расшифровки виртуальных машин.Key protection server URL: The URL that the host uses to retrieve the key needed to decrypt VMs. Для извлечения ключей узел должен пройти аттестацию.The host must pass attestation in order to retrieve keys.
    • Политики целостности кода. Политика целостности кода ограничивает список программ, которые могут выполняться на защищенном узле.Code integrity policies: A code integrity policy restricts the software that can run on a guarded host. Если в HGS настроено использование аттестации TPM, защищенные узлы необходимо настроить на использование политики целостности кода, разрешенной сервером HGS.When HGS is configured to use TPM attestation, guarded hosts must be configured to use a code integrity policy authorized by the HGS server. Вы можете указать размещение политик целостности кода в VMM и развернуть их на своих узлах.You can specify the location of code integrity policies in VMM and deploy them to your hosts. Это не является обязательным условием для управления защищенной структурой.This is optional and not required to manage a guarded fabric.
    • Вспомогательный виртуальный жесткий диск экранирования виртуальных машин: специально подготовленный виртуальный жесткий диск, который используется для экранирования уже существующих виртуальных машин.VM shielding helper VHD: A specially-prepared virtual hard disk that is used to convert existing VMs to shielded VMs. Настройте этот параметр, если вам нужно экранировать уже существующие виртуальные машины.You must configure this setting if you wish to shield existing VMs.
  2. Настройте облако: если защищенный узел будет включен в облако VMM, потребуется включить поддержку экранированных виртуальных машин в облаке.Configure the cloud: If the guarded host will be included in a VMM cloud, you need to enable the cloud to support shielded VMs.

Перед началом работыBefore you start

Прежде чем продолжить, разверните и настройте службу защиты узлов (HGS).Make sure you have deployed and configured the Host Guardian Service before proceeding. Дополнительные сведения о настройке HGS см. в документации по Windows Server.Learn more about configuring HGS in the Windows Server documentation.

Кроме того, убедитесь, что все узлы, которые вы собираетесь сделать защищенными, соответствуют перечисленным ниже требованиям к защищенным узлам.Additionally, ensure any hosts which will become guarded hosts meet the guarded host prerequisites:

  • Операционная система: на серверах узлов должна быть установлена ОС Windows Server Datacenter.Operating system: Host servers must run Windows Server Datacenter. Для защищенных узлов рекомендуется использовать версию Server Core.It is recommended to use Server Core for guarded hosts.
  • Роли и компоненты: серверы узла должны работать с ролью Hyper-V и компонентом "Поддержка Hyper-V защитника узлов".Role and features: Host servers should be running the Hyper-V role and the Host Guardian Hyper-V Support feature. Поддержка Hyper-V защитника узлов позволяет узлу взаимодействовать с HGS в целях проверки работоспособности системы и запроса ключей для экранированных виртуальных машин.Host Guardian Hyper-V Support lets the host communicate with HGS to attest to its health and request keys for shielded VMs. Если на узле установлена версия Nano Server, должны быть также установлены пакеты Compute, SCVMM-Package, SCVMM-Compute, SecureStartup и ShieldedVM.If your host is running Nano Server, it should have the Compute, SCVMM-Package, SCVMM-Compute, SecureStartup, and ShieldedVM packages installed.
  • Аттестация TPM: если в HGS настроено использование аттестации TPM, серверы узлов должны:TPM-attestation: If your HGS is configured to use TPM attestation, the host servers must:
    • использовать модуль UEFI 2.3.1c и TPM 2.0;Use UEFI 2.3.1c and a TPM 2.0 module
    • загружаться в режиме UEFI (не в BIOS и не "устаревшем" режиме);Boot in UEFI mode (not BIOS or "legacy" mode)
    • разрешать безопасную загрузку.Enable Secure Boot
  • Регистрация HGS: узлы Hyper-V должны быть зарегистрированы в службе HGS.HGS registration: Hyper-V hosts must be registered with HGS. Способ их регистрации зависит от того, как аттестацию использует HGS — AD или TPM.How they’re registered depending on whether HGS is using AD or TPM attestation. Дополнительные сведенияLearn more
  • Динамическая миграция: если требуется динамическая миграция экранированных виртуальных машин, необходимо развернуть два или более защищенных узлов.Live migration: If you want to live migrate shielded VMs, you need to deploy two or more guarded hosts.
  • Домен: защищенные узлы и сервер VMM должны находиться в одном домене или в доменах с двусторонним доверием.Domain: Guarded hosts and the VMM server must be in the same domain, or in domains with a two-way trust.

Настройка глобальных параметров HGSConfigure global HGS settings

Прежде чем добавить защищенные узлы в структуру вычислений VMM, необходимо настроить VMM, указав данные службы защиты узлов (HGS) для этой структуры.Before you can add guarded hosts to your VMM compute fabric, you must configure VMM with information about the Host Guardian Service for the fabric. Для всех защищенных узлов, которыми управляет VMM, будет использоваться одна и та же HGS.The same HGS will be used for all guarded hosts managed by VMM.

  1. Получите URL-адреса аттестации и защиты ключами для своей структуры у администратора HGS.Obtain the attestation and key protection URLs for your fabric from your HGS administrator.

  2. На консоли VMM щелкните Параметры > Параметры службы Защитника узлов.In the VMM console, click Settings > Host Guardian Service Settings.

  3. В соответствующие поля введите URL-адреса аттестации и защиты ключами.Enter the attestation and key protection URLs in the respective fields. На данном этапе настраивать политики целостности кода и разделы, связанные со вспомогательным виртуальным жестким диском экранирования виртуальных машин, не нужно.You do not need to configure the code integrity policies and VM shielding helper VHD sections at this time.

    Окно глобальных параметров HGS

  4. Нажмите кнопку Готово, чтобы сохранить настройки.Click Finish to save the configuration.

Добавление или распределение нового защищенного узлаAdd or provision a new guarded host

  1. Добавление узлаAdd the host:
    • Если требуется добавить существующий сервер с Windows Server как защищенный узел Hyper-V, добавьте его в структуру.If you want to add an existing server running Windows Server as a guarded Hyper-V host, add it to the fabric.
    • Если требуется распределить узел Hyper-V с компьютера без операционной системы, выполните следующие предварительные требования и инструкции.If you want to provision a Hyper-V host from a bare-metal computer, follow these prerequisites and instructions. Обратите внимание, что узел можно развернуть как защищенный, когда вы предоставляете его (в Мастере добавления ресурсов щелкните Параметры ОС > Настроить как защищенный узел).Note that you can deploy the host as guarded when you provision it (Add Resource Wizard > OS Settings > Configure as guarded host.
  2. Перейдите к следующему разделу, где описывается настройка узла как защищенного.Continue on to the next section to configure the host as a guarded host.

Настройка существующего узла как защищенногоConfigure an existing host to be a guarded host

Чтобы настроить существующий узел Hyper-V под управлением VMM как защищенный узел, выполните описанные ниже действия.To configure an existing Hyper-V host managed by VMM to be a guarded host, complete the following steps:

  1. Переведите узел в режим обслуживания.Place the host in maintenance mode.

  2. В разделе Все узлы щелкните узел правой кнопкой мыши, выберите Свойства > Служба защитника узлов.In All Hosts, right-click the host > Properties > Host Guardian Service.

    Включение узла как защищенного

  3. Включите функцию поддержки защиты узлов Hyper-V и настройте узел.Select to enable the Host Guardian Hyper-V Support feature and configure the host. Обратите внимание на следующие условия.Note that:

    • URL-адреса серверов глобальной аттестации и защиты ключей будут заданы на узле.The global attestation and key protection server URLs will be set on the host.
    • Если изменить эти URL-адреса за пределами консоли VMM, необходимо обновить их и в VMM.If you modify these URLs outside the VMM console, you need to update them in VMM too. Если этого не сделать, VMM не разместит экранированные виртуальные машины на узле, пока URL-адреса на будут совпадать.If you don't, VMM will not place shielded VMs on the host until the URLs match again. Для изменения настроек узла с URL-адресами, заданными в VMM, можно снять и заново установить флажок "Включить".You can also uncheck and re-check the "Enable" box to reconfigure the host with the URLs configureed in VMM.
  4. Если VMM используется для управления политиками целостности кода, можно установить второй флажок и выбрать соответствующую политику для системы.If you're using VMM to manage code integrity policies, you can enable the second checkbox and select the appropriate policy for the system.

  5. Нажмите кнопку ОК, чтобы обновить настройки узла.Click OK to update the host's configuration.

  6. Выведите узел из режима обслуживания.Take the host out of maintenance mode.

VMM проверяет, что узел передает аттестацию при добавлении и каждом обновлении статуса узла.VMM checks that the host passes attestation when you add it, and every time that the host status is refreshed. VMM развертывает и переносит экранированные виртуальные машины только на тех узлах, которые прошли аттестацию.VMM only deploys and migrates shielded VMs on hosts that have passed attestation. Проверить статус аттестации узла можно в разделе Свойства > Состояние > Общее состояние клиента HGS.You can check the attestation status of a host in Properties > Status > HGS Client Overall.

Включение защищенных узлов в облаке VMMEnable guarded hosts on a VMM cloud

Включите поддержку защищенных узлов в облаке:Enable a cloud to support guarded hosts:

  1. На консоли VMM щелкните Виртуальные машины и службы > Облака.In the VMM console click VMs and Services > Clouds. Щелкните правой кнопкой мыши имя облака и выберите Свойства.Right-click the cloud name > Properties.
  2. В разделе Общие > Поддержка экранированных виртуальных машин выберите Поддерживается в этом частном облаке.In General > Shielded VM support, select Supported on this private cloud.

Управление политиками целостности кода и их развертывание с помощью VMMManage and deploy code integrity policies with VMM

В защищаемой структуре, где настроено использование аттестации TPM, на каждом узле должна быть задана политика целостности кода, которой доверяет служба защиты узлов.In guarded fabrics configured to use TPM attestation, each host must be configured with a code integrity policy that is trusted by the Host Guardian Service. Для упрощения управления политики целостности кода при необходимости можно использовать для развертывания новых или обновленных политик защищенных узлов VMM.To ease the management of code integrity policies, you can optionally use VMM to deploy new or updated policies to your guarded hosts.

Чтобы развернуть политику целостности кода на защищенным узле под управлением VMM, выполните описанные ниже действия.To deploy a code integrity policy to a guarded host managed by VMM, complete the following steps:

  1. Создайте политику целостности кода для каждого заданного узла в вашей среде.Create a code integrity policy for each reference host in your environment. Для каждой уникальной конфигурации аппаратного и программного обеспечения защищенных узлов потребуется отдельная политика целостности кода.You will need a different CI policy for each unique hardware and software configuration of your guarded hosts.
  2. Храните политики целостности кода в защищенной общей папке.Store the CI policies in a secure file share. Учетные записи компьютеров для каждого защищенного узла должны иметь доступ на чтение общей папки.The computer accounts for each guarded host require read access to the share. Доступ на запись должны иметь только доверенные администраторы.Only trusted administrators should have write access.
  3. На консоли VMM щелкните Параметры > Параметры службы Защитника узлов.In the VMM console, click Settings > Host Guardian Service Settings.
  4. В разделе "Политики целостности кода" щелкните Добавить и укажите понятное имя и путь к политике целостности кода.Under the Code Integrity Policies section, click Add and specify a friendly name and the path to a CI policy. Повторите этот шаг для каждой политики целостности кода.Repeat this step for each unique CI policy. Выбирайте для политик имена, которые помогут вам определить, какую политику необходимо применить к тому или иному узлу.Be sure to name your policies in a manner that will help you identify which policy should be applied to which hosts. Добавление политики целостности кодаAdd a code integrity policy
  5. Нажмите кнопку Готово, чтобы сохранить настройки.Click Finish to save the configuration.

Теперь примените политику целостности кода для каждого защищенного узла, выполнив описанные ниже действия.Now, for each guarded host, complete the following steps to apply a code integrity policy:

  1. Переведите узел в режим обслуживания.Place the host in maintenance mode.

  2. В разделе Все узлы щелкните узел правой кнопкой мыши, выберите Свойства > Служба защитника узлов.In All Hosts, right-click the host > Properties > Host Guardian Service.

    Применение политики целостности кода

  3. Включите этот параметр, чтобы настроить политику целостности кода для узла, и выберите соответствующую политику для системы.Select to enable the option to configure the host with a code integrity policy, then select the appropriate policy for the system.

  4. Нажмите кнопку ОК, чтобы изменения в настройках вступили в силу.Click OK to apply the configuration change. Для применения новой политики может потребоваться перезапуск узла.The host may restart to apply the new policy.

  5. Выведите узел из режима обслуживания.Take the host out of maintenance mode.

Предупреждение

Выберите соответствующую политику целостности кода для узла.Be sure to select the correct code integrity policy for the host. Если для узла будет выбрана несовместимая политика, некоторые приложения, драйверы или компоненты операционной системы работать не будут.If an incompatible policy is applied to the host, some applications, drivers, or operating system components may no longer work.

Если вы обновили политику целостности кода в общей папке и хотите обновить ее также на защищенных узлах, выполните описанные ниже действия.If you update the code integrity policy in the file share and wish to also update the guarded hosts, you can do so by completing the following steps:

  1. Переведите узел в режим обслуживания.Place the host in maintenance mode.
  2. В разделе Все узлы щелкните узел правой кнопкой мыши и выберите пункт Применить последнюю политику целостности кода.In All Hosts, right-click the host > Apply Latest Code Integrity Policy.
  3. Выведите узел из режима обслуживания.Take the host out of maintenance mode.

Дальнейшие действияNext steps