Настройка резервных URL-адресов службы HGS в VMMConfigure HGS fallback URLs in VMM

Важно!

Поддержка этой версии Virtual Machine Manager (VMM) прекращена. Рекомендуем перейти на VMM 2019.This version of Virtual Machine Manager (VMM) has reached the end of support, we recommend you to upgrade to VMM 2019.

В этой статье описывается, как определить резервные URL-адреса службы защиты узла (HGS) в глобальных параметрах System Center Virtual Machine Manager (VMM).This article describes how to define the fallback Host Guardian Service (HGS) URLs in System Center - Virtual Machine Manager (VMM) global settings. Сведения о защищенной структуре см. в этой статье.For information about guarded fabrics, see this article.

Служба защиты узла (HGS) служит основой для служб аттестации и защиты ключей, необходимых для выполнения экранированных виртуальных машин на узлах Hyper-V, поэтому она должна работать даже в случае аварии.Being at the heart of providing attestation and key protection services to run shielded VMs on Hyper-V hosts, the host guardian service (HGS) should operate even in situations of disaster.

Возможность настройки резервной службы HGS, которую предоставляет VMM, позволяет настроить для защищенного узла сразу две пары (URI аттестации и защиты ключей) URL-адресов службы HGS: основную и дополнительную.With fallback HGS configuration feature in VMM, a guarded host can be configured with a primary and secondary pair of HGS URLS (an attestation and key protection URI). Эта возможность позволяет реализовать такие сценарии, как развертывание защищенной структуры сразу в двух центрах обработки данных с возможностью аварийного восстановления, выполнение HGS на экранированной виртуальной машине и т. д.This capability will enable scenarios such as guarded fabric deployments spanning two data centers for disaster recovery purposes, HGS running as shielded VMs etc.

Всегда будут использоваться основные URL-адреса HGS, пока они доступны.The primary HGS URLs will always be used in favor of the secondary. Если основная служба HGS не сможет ответить по прошествии установленного времени ожидания и количества повторных попыток, выполняется попытка обращения к дополнительной службе.If the primary HGS fails to respond after the appropriate timeout and retry count, the operation will be reattempted against the secondary. При всех последующих обращениях всегда предпочитается основная служба, а дополнительная используется лишь в случае сбоя основной.Subsequent operations will always favor the primary; the secondary will only be used when the primary fails.

Перед началом работыBefore you start

Прежде чем продолжить, убедитесь в наличии развернутой и настроенной службы защиты узла (HGS).Ensure you have deployed and configured the Host Guardian Service before proceeding. Узнайте больше о настройке HGS.Learn more about configuring HGS.

Настройка резервной HGSConfigure fallback HGS

Выполните следующие шаги.Use the following steps:

  1. Перейдите к разделу Параметры VMM > Общие параметры > Параметры службы защиты узла.Navigate to VMM Settings > General Settings > Host Guardian Service settings.

  2. Откройте параметры службы защиты узла.Open the Host Guardian Service settings. Вы увидите раздел для настройки резервной службы.You should see a section for Fallback Configurations.

  3. Задайте основной и резервный URL-адреса службы HGS и щелкните Готово.Define the primary and fallback HGS URLs and click Finish.

    Резервная HGS

  4. Чтобы активировать резервные URL-адреса на узле, перейдите к разделу Свойства узла > Служба защиты узла, установите поддержку узла защиты Hyper-V, примените указанные в глобальных параметрах URL-адреса и щелкните ОК.Enable the fallback URLs on the host by navigating to Host Properties > Host Guardian Service > select Enable host Guardian Hyper-V support and use the URLs as configured as global settings in VMM and click OK.

    Примечание

    После этого действия служба VMM настроит для поддерживаемых узлов основные и резервные URL-адреса HGS.After this step, VMM service configures the supported hosts with primary and fallback HGS URLs. Резервные URL-адреса HGS поддерживаются только для узлов Windows Server 1709 и более поздних версий.Only hosts on and above Windows Server 1709 support fallback HGS URLs.

Обновления команд PowerShellPowerShell command updates

  1. Для существующего командлета Set-SCVMHost добавлены следующие два параметра.The following two parameters are added to the existing Set-SCVMHost PowerShell command:

    • AttestationFallbackServerUrlAttestationFallbackServerUrl
    • KeyProtectionFallbackServerUrlKeyProtectionFallbackServerUrl

    Ниже приведен пример синтаксиса.Here is the sample syntax.

    
    Set-SCVMHost [-VMHost] <Host> [-ApplyLatestCodeIntegrityPolicy] [-AttestationServerUrl <String>]        [-AttestationFallbackServerUrl <String>]
    [-AvailableForPlacement <Boolean>] [-BMCAddress <String>]
    [-BMCCustomConfigurationProvider <ConfigurationProvider>] [-BMCPort <UInt32>]
    [-BMCProtocol <OutOfBandManagementType>] [-BMCRunAsAccount <RunAsAccount>] [-BaseDiskPaths <String>]
    [-BypassMaintenanceModeCheck] [-CPUPercentageReserve <UInt16>] [-CodeIntegrityPolicy <CodeIntegrityPolicy>]
    [-Custom1 <String>] [-Custom10 <String>] [-Custom2 <String>] [-Custom3 <String>] [-Custom4 <String>]
    [-Custom5 <String>] [-Custom6 <String>] [-Custom7 <String>] [-Custom8 <String>] [-Custom9 <String>]
    [-Description <String>] [-DiskSpaceReserveMB <UInt64>] [-EnableLiveMigration <Boolean>]
    [-FibreChannelWorldWideNodeName <String>] [-FibreChannelWorldWidePortNameMaximum <String>]
    [-FibreChannelWorldWidePortNameMinimum <String>] [-IsDedicatedToNetworkVirtualizationGateway <Boolean>]
    [-JobGroup <Guid>] [-JobVariable <String>] [-KeyProtectionServerUrl <String>] [-KeyProtectionFallbackServerUrl <String>] [-LiveMigrationMaximum <UInt32>]
    [-LiveStorageMigrationMaximum <UInt32>] [-MaintenanceHost <Boolean>] [-ManagementAdapterMACAddress <String>]
    [-MaxDiskIOReservation <UInt64>] [-MemoryReserveMB <UInt64>]
    [-MigrationAuthProtocol <MigrationAuthProtocolType>]
    [-MigrationPerformanceOption <MigrationPerformanceOptionType>] [-MigrationSubnet <String[]>]
    [-NetworkPercentageReserve <UInt16>] [-NumaSpanningEnabled <Boolean>] [-OverrideHostGroupReserves <Boolean>]
    [-PROTipID <Guid>] [-RemoteConnectCertificatePath <String>] [-RemoteConnectEnabled <Boolean>]
    [-RemoteConnectPort <UInt32>] [-RemoveRemoteConnectCertificate] [-RunAsynchronously] [-SMBiosGuid <Guid>]
    [-SecureRemoteConnectEnabled <Boolean>] [-UseAnyMigrationSubnet <Boolean >]
    [-VMHostManagementCredential <VMMCredential>] [-VMPaths <String>] [<CommonParameters>]
    
  2. Для командлета Get-SCGuardianConfiguration добавлен новый параметр, который позволяет пользователю указать HGS, из которой будут извлекаться метаданные.The following parameter is added to Get-SCGuardianConfiguration to let the user specify from which HGS the metadata be fetched.

    [-Guardian {Primary | Fallback}][-Guardian {Primary | Fallback}]

    СинтаксисSyntax

    Get-SCGuardianConfiguration [-Guardian {Primary | Fallback}] [-OnBehalfOfUser <String>] [-OnBehalfOfUserRole <UserRole>] [-VMMServer <ServerConnection>] [<CommonParameters>]
    

Дальнейшие действияNext steps