Подготовка экранированной виртуальной машины в структуре VMMProvision a shielded Linux virtual machine in the VMM fabric

Важно!

Поддержка этой версии Virtual Machine Manager (VMM) прекращена. Рекомендуем перейти на VMM 2019.This version of Virtual Machine Manager (VMM) has reached the end of support, we recommend you to upgrade to VMM 2019.

В этой статье описано, как развертывать экранированные виртуальные машины в System Center 1801 — Virtual Machine Manager (VMM).This article describes how to deploy Linux shielded virtual machines (VMs) in System Center 1801 - Virtual Machine Manager (VMM).

Процедура экранирования виртуальной машины LinuxProcedure to shield a Linux VM

В Windows Server 2016 реализована концепция экранированной виртуальной машины для виртуальных машин на базе Windows.Windows Server 2016 introduced the concept of a shielded VM for Windows OS-based virtual machines. Экранированные виртуальные машины защищают хранимые данные от вредоносных действий администратора и недоверенного программного обеспечения, выполняемого на узлах Hyper-V.Shielded VMs provide protection against malicious administrator actions when the VM's data is at rest or when untrusted software is running on Hyper-V hosts. (Learn more) Дополнительные сведения.Learn more.

В Windows Server версии 1709 Hyper-V поддерживает подготовку экранированных виртуальных машин Linux.With Windows Server version 1709, Hyper-V introduced support for provisioning Linux shielded VMs. Эта поддержка реализована в VMM 1801.This support is available in VMM 1801.

Экранирование виртуальной машины LinuxShield a Linux VM

  1. Создайте подписанный диск шаблона.Create a signed template disk.
  2. В VMM создайте шаблон экранированной виртуальной машины Linux.Create a Linux shielded VM template in VMM.
  3. Создайте файл данных экранирования (PDK).Generate a shielding data file (PDK).
  4. Создайте виртуальную машину Linux с помощью шаблона виртуальной машины и PDK-файла.Create a Linux shielded VM by using the VM template and the PDK.

Примечание

Если вы используете протокол WAP, вы можете подготовить экранированные виртуальные машины Linux так же, как и экранированные виртуальные машины Windows.If you use Wireless Application Protocol (WAP), you can provision Linux shielded VMs in the same way you provision Windows shielded VMs.

Подготовка диска шаблонаPrepare a template disk

  1. Выполните эту инструкцию для создания диска шаблона.Follow these steps to create the template disk.

  2. В разделе Подготовка образа Linux установите агент специализации VMM, прежде чем устанавливать lsvmtools.In the Preparing a Linux Image section of the directions, before you install lsvmtools, install the VMM specialization agent.

Подписывание диска шаблонаSign the template disk

  1. Создайте сертификат.Generate a certificate. Для тестирования можно использовать самозаверяющий сертификат.You can use a self-signed certificate for testing.

    Выполните командлет из следующего примера:Use the following sample cmdlet:

    
        $cert = New-SelfSignedCertificate -DnsName '<<signing.contoso.com>>'
    
    
  2. Подпишите диск, используя виртуальную машину с Windows Server 1709.Sign the disk by using a Windows Server 1709 machine. Выполните командлет из следующего примера:Use the following sample cmdlet:

    Protect-TemplateDisk -Path "<<Path to the VHDX>>" -TemplateName "<<Template Name>>" -Version <<x.x.x.x>> -Certificate $cert -ProtectedTemplateTargetDiskType PreprocessedLinux
    
    
  3. Скопируйте в библиотеку VMM диск шаблона и подписанный образ.Copy the template disk and the signed image to the VMM library.

Создайте шаблон экранированный виртуальной машины Linux в VMM.Create a Linux shielded VM template in VMM

  1. В консоли VMM выберите Создать шаблон виртуальной машины.In the VMM console library, select Create VM Template.

  2. В разделе Выбор источника выберите Использовать существующий шаблон виртуальной машины.In Select Source, select Use an existing VM template. Найдите и выберите подписанный диск шаблона, который вы добавили в библиотеку VMM.Browse to select the signed template disk that you added to the VMM library. Нажмите кнопку Далее.Then select Next.

  3. В разделе Настройка оборудования сделайте следующее:In Configure Hardware:

    • В разделе Встроенное ПО выберите Включить безопасную загрузку.Under Firmware, select Enable secure boot. В раскрывающемся меню Шаблон безопасной загрузки выберите OpenSourceShieldedVM.From the Secure boot template drop-down menu, select OpenSourceShieldedVM.

      Примечание

      Это новый шаблон загрузки для узлов RS3.This boot template is a new addition to RS3 hosts. Если в VMM нет узлов RS3, этот параметр не будет отображаться в меню Шаблон безопасной загрузки.If no RS3 hosts are in VMM, this option won't show up on the Secure boot template menu.

    • Задайте требуемую конфигурацию другому оборудованию: процессорам, памяти и сети виртуальных машин.Select the required configuration for other hardware properties, such as processors, memory, and the VM network.

      Конфигурация оборудования для экранированной виртуальной машины Linux

  4. Выполните эти действия в области Настройка операционной системы.In Configure Operating System:

    • Выберите профиль гостевой ОС — Создать параметры настройки ОС Linux.Select the Guest OS profile as Create new Linux operating system customization settings.

    • Выберите ОС, которая есть на созданном ранее диске шаблона (Ubuntu Linux).Select the OS on the template disk that you created earlier (Ubuntu Linux).

      Конфигурация операционной системы шаблона виртуальной машины

  5. Выберите Далее.Select Next.

  6. В области Сводка просмотрите сведения и выберите Создать, чтобы завершить создание шаблона экранированной виртуальной машины Linux в VMM.In Summary, review the details and select Create to finish generation of Linux shielded VM template in VMM.

Создание файла данных экранированияGenerate the shielding data file

Прежде чем создать файл данных экранирования (PDK), сделайте следующее:Before you generate the shielding data file (PDK):

  1. Получите метаданные от службы защитника узлов.Get the guardian metadata from the Host Guardian Service (HGS).
  2. Извлеките VSC-файл с каталогом подписи тома.Extract the volume signature catalog (VSC) file.

Чтобы создать PDK-файл, выполните следующий пример скрипта на сервере, на котором работает Windows Server версии 1709.To generate the PDK, run the following sample script on a server that's running Windows Server version 1709:


# Create a VolumeSignatureCatalog file for the template disk to ensure that no one tampers with the template disk at the deployment time
# Create an owner certificate
$Owner = New-HgsGuardian –Name '<<Owner>>' –GenerateCertificates

# Import the HGS guardian
$Guardian = Import-HgsGuardian -Path <<Import the xml from pre-step 1>> -Name '<<Name of the guardian>>' –AllowUntrustedRoot

# Create the PDK file on a server running Windows Server version 1709

New-ShieldingDataFile -ShieldingDataFilePath '<<Shielding Data file path>>' -Owner $Owner –Guardian $guardian –VolumeIDQualifier (New-VolumeIDQualifier -VolumeSignatureCatalogFilePath '<<Path to the .vsc file generated in pre-step 2>>' -VersionRule Equals) -AnswerFile '<<Path to LinuxOsConfiguration.xml>>' -policy Shielded

Создайте виртуальную машину Linux с помощью шаблона виртуальной машины и PDK-файла.Create a Linux shielded VM by using the VM template and the PDK

  1. В консоли VMM выберите Создать виртуальную машину.In the VMM console, select Create Virtual Machine.

  2. Выберите вариант Использовать существующую виртуальную машину, шаблон виртуальной машины или виртуальный жесткий диск.Select Use an existing virtual machine, VM template, or virtual hard disk.

  3. Последовательно выберите Шаблон экранированной виртуальной машины Linux > Далее.Select Linux shielded VM template > Next.

    Выбор источника для новой виртуальной машины

  4. Укажите имя виртуальной машине и нажмите кнопку Далее.Name the VM and select Next.

  5. В разделе Настройка оборудования отображаемые параметры должны соответствовать параметрам шаблона.In Configure Hardware, make sure the details match your template settings. Нажмите кнопку Далее.Then select Next.

  6. В разделе Настройка операционной системы отображаемые параметры должны соответствовать параметрам, которые вы указали при создании шаблона.In Configure Operating System settings, ensure the details conform to the settings you made when you created the template. Нажмите кнопку Далее.Then select Next.

  7. Выберите созданный PDK-файл данных экранирования.Select the shielding data file (PDK) that you created.

  8. Выберите целевую группу узлов и нажмите кнопку Далее.Select the destination host group and then select Next.

  9. Выберите узел согласно оценке, выполненной подсистемой размещения VMM.Select the host by the rating that the VMM placement engine gave. Нажмите кнопку Далее.Then select Next.

  10. В разделе Настройка параметров проверьте параметры виртуальной машины и нажмите кнопку Далее.In Configure Settings, review the virtual machine settings and select Next.

  11. Просмотрите действия в разделе Добавление свойств и нажмите кнопку Далее.Review the actions in Add properties and select Next.

  12. Нажмите кнопку Создать, чтобы создать экранированную виртуальную машину Linux.To create the Linux shielded VM, select Create.

При подготовке виртуальной машины агент специализации VMM считывает PDK-файл конфигурации Linux и настраивает виртуальную машину.While provisioning the VM, the VMM specialization agent reads the Linux configuration file PDK and customizes the VM.

Дальнейшие действияNext steps