在 VMM 构造中预配受防护的虚拟机
重要
此版本的 Virtual Machine Manager (VMM) 已终止支持。 建议 升级到 VMM 2022。
本文介绍如何在 System Center - Virtual Machine Manager (VMM) 计算构造中部署受防护的虚拟机。
可以使用几种方式在 VMM 中部署受防护的 VM:
- 将现有 VM 转换为受防护的 VM。
- 使用已签名的虚拟机硬盘 (VHDX) 和 VM 模板(可选)创建新的受防护的 VM。
注意
使用负载均衡器或 WAN 优化设备通过网络部署受防护的虚拟机可能会遇到问题。 传输期间不修改数据包,受防护的 VM 才能成功部署。
开始之前
观看视频,该视频用两分钟时间简单概述了在 VMM 中设置受防护的虚拟机信息。 然后,请确保已完成以下操作:
准备 HGS 服务器:你应该已经部署了一个 HGS 服务器。 了解详细信息。
设置 VMM:需在 VMM 中配置全局 HGS 设置,并至少设置一台受保护的主机。 如果受保护的主机属于云,则应启用云,以支持受防护的 VM。 了解详细信息。
准备受防护的 VHDX 和 VM 模板:应从受防护的虚拟硬盘 (VHDX) 部署受防护的 VM,并选择性地使用 VM 模板。 了解更多有关准备这些内容的信息。
注意
不能使用服务模板来创建受防护的 VM。 请改用脚本。
准备防护数据文件:如果租户想要使用 VMM 库中的已签名模板磁盘,则必须准备一个或多个防护数据文件。 此文件包含租户部署 VM 所需的所有机密,包括用于专用化 VM、证书和管理员帐户密码的无人参与文件。 此文件还指定租户托管其 VM 所信任的受保护的结构,以及有关已签名模板磁盘的信息。 此文件被加密,且仅能由在租户信任的受保护结构中的主机读取。 了解详细信息。
设置主机组:为了便于管理,我们建议将受保护的主机置于专用的 VMM 主机组。
验证现有 VM 要求:如果想要将现有 VM 转换为受防护的 VM,请注意以下内容:
- VM 必须是第 2 代,并且已启用 Microsoft Windows 安全启动模板
- 磁盘上的操作系统必须是以下之一:
- Windows Server 2016、Windows Server 2012 R2、Windows Server 2012
- Windows 10、Windows 8.1 和 Windows 8
- VM 的 OS 磁盘必须使用 GUID 分区表。 这对第 2 代 VM 支持 UEFI 是必需的。
- VM 必须是第 2 代,并且已启用 Microsoft Windows 安全启动模板
- 磁盘上的操作系统必须是以下之一:
- Windows Server 2016、Windows Server 2012 R2、Windows Server 2012
- Windows 10
- VM 的 OS 磁盘必须使用 GUID 分区表。 这对第 2 代 VM 支持 UEFI 是必需的。
- VM 必须是第 2 代,并且已启用 Microsoft Windows 安全启动模板
- 磁盘上的操作系统必须是以下之一:
- Windows Server 2022、Windows Server 2019、Windows Server 2016
- Windows 11、Windows 10
- VM 的 OS 磁盘必须使用 GUID 分区表。 这对第 2 代 VM 支持 UEFI 是必需的。
设置帮助程序 VHD:托管服务提供商需要创建一个 VM,该 VM 充当用于转换现有计算机的帮助程序 VHD。 了解详细信息。
将防护数据文件添加到 VMM
在将现有 VM 转换为受防护的 VM,或从模板中预配新的受防护的 VM 之前,VM 所有者必须生成防护数据文件并将其添加到 VMM。
如果尚未导入防护数据文件,请完成以下步骤:
- 如果还没有防护数据文件,请创建防护数据文件。 确保防护数据文件授权托管构造 VMM 管理运行受防护的 VM。
- 在 VMM 控制台中,选择“ 库>导入防护数据>浏览 ”,然后选择防护数据文件。
- 在“名称”中指定防护数据文件的友好名称,并可选择添加说明。 我们建议你指示防护数据文件是用于其名称中的现有 VM 还是新 VM,以便于再次查找。
- 选择“ 导入 ”,将防护数据保存在 VMM 中。
若要管理导入的防护数据文件,请转到“库”VM 防护数据”(在“配置文件”下)。
预配新的受防护的 VM
- 在开始之前,请确保已准备就绪所有先决条件。
- 在 “VM 和服务”中,选择“ 创建虚拟机 ”以打开“创建虚拟机向导”。
- 在 “选择源”中,选择“ 使用现有虚拟机、VM 模板或虚拟硬盘>浏览”。
- 选择受防护的 VM 模板或已签名模板磁盘。 两者都由 标识。
- 在 “选择防护数据文件”中,选择“ 浏览 ”并选择屏蔽数据文件。 只显示可用于创建新的受防护 VM 的防护数据文件。 选择 “确定>”“下一步 ”以继续。
- 请按照这些说明完成向导,并在主机/云上部署 VM。
完成向导后,VMM 将从磁盘或模板创建新的受防护的 VM:
- 从 VMM 库复制模板磁盘 (VHDX) 文件
- VM 预配对防护数据文件中的数据进行解密,完成 unattend.xml 文件中的任何替换字符串,并将其他文件从防护数据文件复制到操作系统驱动器(如 RDP 证书)。
- VM 重启、自定义并通过 BitLocker 重新加密。 BitLocker 全卷加密密钥存储在新 VM 的虚拟 TPM 中。
- 当 unattend.xml 文件中的关闭命令运行时,VM 自定义完成;VM 保持关闭状态。 如果自定义停止,请检查 unattend.xml 文件,方法是通过在受防护的 VM 上运行该 unattend.xml 文件,或使用允许控制台访问的支持加密的防护数据文件。
- 在 VMM 检测到专用化已完成后,它将更新其状态以指示 VM 已创建,如果已选择,则启动该 VM。
防护现有 VM
可以为当前在未受保护的 VMM 结构中的主机上运行的 VM 启用防护。
- 在开始之前,请确保已具备所有先决条件。
- 使 VM 脱机。
- 我们建议在将 BitLocker 移至受保护的主机前,在附加到 VM 的所有磁盘上启用 BitLocker。
- 选择 VM >“属性”>“屏蔽”,并选择屏蔽数据文件。
- 关闭 VM,从不受保护的主机导出,并将其导入到受保护的主机。 只有受保护的主机才能访问 VM 数据。
后续步骤
若要了解如何为 VM 配置性能和可用性设置,请查看管理虚拟机设置。
反馈
https://aka.ms/ContentUserFeedback。
即将发布:在整个 2024 年,我们将逐步淘汰作为内容反馈机制的“GitHub 问题”,并将其取代为新的反馈系统。 有关详细信息,请参阅:提交和查看相关反馈