Подготовка экранированной виртуальной машины в структуре VMM

Важно!

Поддержка этой версии Virtual Machine Manager (VMM) завершена. Рекомендуется выполнить обновление до VMM 2022.

В этой статье описано, как развертывать экранированные виртуальные машины в System Center — Virtual Machine Manager (VMM).

Процедура экранирования виртуальной машины Linux

В Windows Server 2016 реализована концепция экранированной виртуальной машины для виртуальных машин на базе Windows. Экранированные виртуальные машины защищают хранимые данные от вредоносных действий администратора и недоверенного программного обеспечения, выполняемого на узлах Hyper-V. Подробнее.

В Windows Server версии 1709 Hyper-V поддерживает подготовку экранированных виртуальных машин Linux. Эта поддержка реализована в VMM 1801.

Экранирование виртуальной машины Linux

1. Создайте подписанный диск шаблона.
2. В VMM создайте шаблон экранированной виртуальной машины Linux.
3. Создайте файл данных экранирования (PDK).
4. Создайте виртуальную машину Linux с помощью шаблона виртуальной машины и PDK-файла.

Примечание

Если вы используете протокол WAP, вы можете подготовить экранированные виртуальные машины Linux так же, как и экранированные виртуальные машины Windows.

Подготовка диска шаблона

1. Выполните эту инструкцию для создания диска шаблона.

2. В разделе Подготовка образа Linux установите агент специализации VMM, прежде чем устанавливать lsvmtools.

Подписывание диска шаблона

1. Создайте сертификат. Для тестирования можно использовать самозаверяющий сертификат.

   Выполните командлет из следующего примера:

   
    	$cert = New-SelfSignedCertificate -DnsName '<<signing.contoso.com>>'
   
   

2. Подпишите диск, используя виртуальную машину с Windows Server 1709. Выполните командлет из следующего примера:

   Protect-TemplateDisk -Path "<<Path to the VHDX>>" -TemplateName "<<Template Name>>" -Version <<x.x.x.x>> -Certificate $cert -ProtectedTemplateTargetDiskType PreprocessedLinux
   
   

3. Скопируйте в библиотеку VMM диск шаблона и подписанный образ.

Создайте шаблон экранированный виртуальной машины Linux в VMM.

1. В консоли VMM выберите Создать шаблон виртуальной машины.

2. В разделе Выбор источника выберите Использовать существующий шаблон виртуальной машины. Найдите и выберите подписанный диск шаблона, который вы добавили в библиотеку VMM. Затем нажмите кнопку Далее.

3. В разделе Настройка оборудования сделайте следующее:

   • В разделе Встроенное ПО выберите Включить безопасную загрузку. В раскрывающемся меню Шаблон безопасной загрузки выберите OpenSourceShieldedVM.

     Примечание

     Это новый шаблон загрузки для узлов RS3. Если в VMM нет узлов RS3, этот параметр не будет отображаться в меню Шаблон безопасной загрузки.

   • Задайте требуемую конфигурацию другому оборудованию: процессорам, памяти и сети виртуальных машин.

     

4. Выполните эти действия в области Настройка операционной системы.

   • Выберите профиль гостевой ОС — Создать параметры настройки ОС Linux.

   • Выберите ОС, которая есть на созданном ранее диске шаблона (Ubuntu Linux).

     

5. Выберите Далее.

6. В области Сводка просмотрите сведения и выберите Создать, чтобы завершить создание шаблона экранированной виртуальной машины Linux в VMM.

Создание файла данных экранирования

Прежде чем создать файл данных экранирования (PDK), сделайте следующее:

1. Получите метаданные от службы защитника узлов.
2. Извлеките VSC-файл с каталогом подписи тома.

Чтобы создать PDK-файл, выполните следующий пример скрипта на сервере, на котором работает Windows Server версии 1709.

# Create a VolumeSignatureCatalog file for the template disk to ensure that no one tampers with the template disk at the deployment time
# Create an owner certificate
$Owner = New-HgsGuardian –Name '<<Owner>>' –GenerateCertificates

# Import the HGS guardian
$Guardian = Import-HgsGuardian -Path <<Import the xml from pre-step 1>> -Name '<<Name of the guardian>>' –AllowUntrustedRoot

# Create the PDK file on a server running Windows Server version 1709

New-ShieldingDataFile -ShieldingDataFilePath '<<Shielding Data file path>>' -Owner $Owner –Guardian $guardian –VolumeIDQualifier (New-VolumeIDQualifier -VolumeSignatureCatalogFilePath '<<Path to the .vsc file generated in pre-step 2>>' -VersionRule Equals) -AnswerFile '<<Path to LinuxOsConfiguration.xml>>' -policy Shielded

Создайте виртуальную машину Linux с помощью шаблона виртуальной машины и PDK-файла.

1. В консоли VMM выберите Создать виртуальную машину.

2. Выберите вариант Использовать существующую виртуальную машину, шаблон виртуальной машины или виртуальный жесткий диск.

3. Последовательно выберите Шаблон экранированной виртуальной машины Linux>Далее.

   

4. Укажите имя виртуальной машине и нажмите кнопку Далее.

5. В разделе Настройка оборудования убедитесь, что сведения соответствуют параметрам шаблона. Выберите Далее.

6. В разделе Настройка операционной системы отображаемые параметры должны соответствовать параметрам, которые вы указали при создании шаблона. Выберите Далее.

7. Выберите созданный PDK-файл данных экранирования.

8. Выберите целевую группу узлов и нажмите кнопку Далее.

9. Выберите узел согласно оценке, выполненной подсистемой размещения VMM. Выберите Далее.

10. В разделе Настройка параметров проверьте параметры виртуальной машины и нажмите кнопку Далее.

11. Просмотрите действия в разделе Добавление свойств и нажмите кнопку Далее.

12. Нажмите кнопку Создать, чтобы создать экранированную виртуальную машину Linux.

При подготовке виртуальной машины агент специализации VMM считывает PDK-файл конфигурации Linux и настраивает виртуальную машину.

Дальнейшие действия

• См. подробнее о защищенной структуре и экранированных виртуальных машинах.
• См. подробнее о средствах для экранированной виртуальной машины Linux.