Подготовка экранированной виртуальной машины в структуре VMM
Важно!
Поддержка этой версии Virtual Machine Manager (VMM) завершена. Рекомендуется выполнить обновление до VMM 2022.
В этой статье описано, как развертывать экранированные виртуальные машины в System Center — Virtual Machine Manager (VMM).
Процедура экранирования виртуальной машины Linux
В Windows Server 2016 реализована концепция экранированной виртуальной машины для виртуальных машин на базе Windows. Экранированные виртуальные машины защищают хранимые данные от вредоносных действий администратора и недоверенного программного обеспечения, выполняемого на узлах Hyper-V. Подробнее.
В Windows Server версии 1709 Hyper-V поддерживает подготовку экранированных виртуальных машин Linux. Эта поддержка реализована в VMM 1801.
Экранирование виртуальной машины Linux
- Создайте подписанный диск шаблона.
- В VMM создайте шаблон экранированной виртуальной машины Linux.
- Создайте файл данных экранирования (PDK).
- Создайте виртуальную машину Linux с помощью шаблона виртуальной машины и PDK-файла.
Примечание
Если вы используете протокол WAP, вы можете подготовить экранированные виртуальные машины Linux так же, как и экранированные виртуальные машины Windows.
Подготовка диска шаблона
Выполните эту инструкцию для создания диска шаблона.
В разделе Подготовка образа Linux установите агент специализации VMM, прежде чем устанавливать lsvmtools.
Подписывание диска шаблона
Создайте сертификат. Для тестирования можно использовать самозаверяющий сертификат.
Выполните командлет из следующего примера:
$cert = New-SelfSignedCertificate -DnsName '<<signing.contoso.com>>'
Подпишите диск, используя виртуальную машину с Windows Server 1709. Выполните командлет из следующего примера:
Protect-TemplateDisk -Path "<<Path to the VHDX>>" -TemplateName "<<Template Name>>" -Version <<x.x.x.x>> -Certificate $cert -ProtectedTemplateTargetDiskType PreprocessedLinux
Скопируйте в библиотеку VMM диск шаблона и подписанный образ.
Создайте шаблон экранированный виртуальной машины Linux в VMM.
В консоли VMM выберите Создать шаблон виртуальной машины.
В разделе Выбор источника выберите Использовать существующий шаблон виртуальной машины. Найдите и выберите подписанный диск шаблона, который вы добавили в библиотеку VMM. Затем нажмите кнопку Далее.
В разделе Настройка оборудования сделайте следующее:
В разделе Встроенное ПО выберите Включить безопасную загрузку. В раскрывающемся меню Шаблон безопасной загрузки выберите OpenSourceShieldedVM.
Примечание
Это новый шаблон загрузки для узлов RS3. Если в VMM нет узлов RS3, этот параметр не будет отображаться в меню Шаблон безопасной загрузки.
Задайте требуемую конфигурацию другому оборудованию: процессорам, памяти и сети виртуальных машин.
Выполните эти действия в области Настройка операционной системы.
Выберите профиль гостевой ОС — Создать параметры настройки ОС Linux.
Выберите ОС, которая есть на созданном ранее диске шаблона (Ubuntu Linux).
Выберите Далее.
В области Сводка просмотрите сведения и выберите Создать, чтобы завершить создание шаблона экранированной виртуальной машины Linux в VMM.
Создание файла данных экранирования
Прежде чем создать файл данных экранирования (PDK), сделайте следующее:
Чтобы создать PDK-файл, выполните следующий пример скрипта на сервере, на котором работает Windows Server версии 1709.
# Create a VolumeSignatureCatalog file for the template disk to ensure that no one tampers with the template disk at the deployment time
# Create an owner certificate
$Owner = New-HgsGuardian –Name '<<Owner>>' –GenerateCertificates
# Import the HGS guardian
$Guardian = Import-HgsGuardian -Path <<Import the xml from pre-step 1>> -Name '<<Name of the guardian>>' –AllowUntrustedRoot
# Create the PDK file on a server running Windows Server version 1709
New-ShieldingDataFile -ShieldingDataFilePath '<<Shielding Data file path>>' -Owner $Owner –Guardian $guardian –VolumeIDQualifier (New-VolumeIDQualifier -VolumeSignatureCatalogFilePath '<<Path to the .vsc file generated in pre-step 2>>' -VersionRule Equals) -AnswerFile '<<Path to LinuxOsConfiguration.xml>>' -policy Shielded
Создайте виртуальную машину Linux с помощью шаблона виртуальной машины и PDK-файла.
В консоли VMM выберите Создать виртуальную машину.
Выберите вариант Использовать существующую виртуальную машину, шаблон виртуальной машины или виртуальный жесткий диск.
Последовательно выберите Шаблон экранированной виртуальной машины Linux>Далее.
Укажите имя виртуальной машине и нажмите кнопку Далее.
В разделе Настройка оборудования убедитесь, что сведения соответствуют параметрам шаблона. Выберите Далее.
В разделе Настройка операционной системы отображаемые параметры должны соответствовать параметрам, которые вы указали при создании шаблона. Выберите Далее.
Выберите созданный PDK-файл данных экранирования.
Выберите целевую группу узлов и нажмите кнопку Далее.
Выберите узел согласно оценке, выполненной подсистемой размещения VMM. Выберите Далее.
В разделе Настройка параметров проверьте параметры виртуальной машины и нажмите кнопку Далее.
Просмотрите действия в разделе Добавление свойств и нажмите кнопку Далее.
Нажмите кнопку Создать, чтобы создать экранированную виртуальную машину Linux.
При подготовке виртуальной машины агент специализации VMM считывает PDK-файл конфигурации Linux и настраивает виртуальную машину.
Дальнейшие действия
- См. подробнее о защищенной структуре и экранированных виртуальных машинах.
- См. подробнее о средствах для экранированной виртуальной машины Linux.
Обратная связь
https://aka.ms/ContentUserFeedback.
Ожидается в ближайшее время: в течение 2024 года мы постепенно откажемся от GitHub Issues как механизма обратной связи для контента и заменим его новой системой обратной связи. Дополнительные сведения см. в разделеОтправить и просмотреть отзыв по