在 VMM 构造中预配受防护的虚拟机

  • 项目

重要

此版本的 Virtual Machine Manager (VMM) 已终止支持。 建议 升级到 VMM 2022

本文介绍如何在 System Center - Virtual Machine Manager (VMM) 计算构造中部署受防护的虚拟机。

可以使用几种方式在 VMM 中部署受防护的 VM:

  • 将现有 VM 转换为受防护的 VM。
  • 使用已签名的虚拟机硬盘 (VHDX) 和 VM 模板(可选)创建新的受防护的 VM。

注意

使用负载均衡器或 WAN 优化设备通过网络部署受防护的虚拟机可能会遇到问题。 传输期间不修改数据包,受防护的 VM 才能成功部署。

开始之前

观看视频,该视频用两分钟时间简单概述了在 VMM 中设置受防护的虚拟机信息。 然后,请确保已完成以下操作:

  1. 准备 HGS 服务器:你应该已经部署了一个 HGS 服务器。 了解详细信息

  2. 设置 VMM:需在 VMM 中配置全局 HGS 设置,并至少设置一台受保护的主机。 如果受保护的主机属于云,则应启用云,以支持受防护的 VM。 了解详细信息

  3. 准备受防护的 VHDX 和 VM 模板:应从受防护的虚拟硬盘 (VHDX) 部署受防护的 VM,并选择性地使用 VM 模板。 了解更多有关准备这些内容的信息。

    注意

    不能使用服务模板来创建受防护的 VM。 请改用脚本。

  4. 准备防护数据文件:如果租户想要使用 VMM 库中的已签名模板磁盘,则必须准备一个或多个防护数据文件。 此文件包含租户部署 VM 所需的所有机密,包括用于专用化 VM、证书和管理员帐户密码的无人参与文件。 此文件还指定租户托管其 VM 所信任的受保护的结构,以及有关已签名模板磁盘的信息。 此文件被加密,且仅能由在租户信任的受保护结构中的主机读取。 了解详细信息

  5. 设置主机组:为了便于管理,我们建议将受保护的主机置于专用的 VMM 主机组。

  6. 验证现有 VM 要求:如果想要将现有 VM 转换为受防护的 VM,请注意以下内容:

    • VM 必须是第 2 代,并且已启用 Microsoft Windows 安全启动模板
    • 磁盘上的操作系统必须是以下之一:
    • Windows Server 2016、Windows Server 2012 R2、Windows Server 2012
    • Windows 10、Windows 8.1 和 Windows 8
    • VM 的 OS 磁盘必须使用 GUID 分区表。 这对第 2 代 VM 支持 UEFI 是必需的。
    • VM 必须是第 2 代,并且已启用 Microsoft Windows 安全启动模板
    • 磁盘上的操作系统必须是以下之一:
    • Windows Server 2016、Windows Server 2012 R2、Windows Server 2012
    • Windows 10
    • VM 的 OS 磁盘必须使用 GUID 分区表。 这对第 2 代 VM 支持 UEFI 是必需的。
    • VM 必须是第 2 代,并且已启用 Microsoft Windows 安全启动模板
    • 磁盘上的操作系统必须是以下之一:
      • Windows Server 2022、Windows Server 2019、Windows Server 2016
      • Windows 11、Windows 10
    • VM 的 OS 磁盘必须使用 GUID 分区表。 这对第 2 代 VM 支持 UEFI 是必需的。

  7. 设置帮助程序 VHD:托管服务提供商需要创建一个 VM,该 VM 充当用于转换现有计算机的帮助程序 VHD。 了解详细信息

将防护数据文件添加到 VMM

在将现有 VM 转换为受防护的 VM,或从模板中预配新的受防护的 VM 之前,VM 所有者必须生成防护数据文件并将其添加到 VMM。

如果尚未导入防护数据文件,请完成以下步骤:

  1. 如果还没有防护数据文件,请创建防护数据文件。 确保防护数据文件授权托管构造 VMM 管理运行受防护的 VM。
  2. 在 VMM 控制台中,选择“ >导入防护数据>浏览 ”,然后选择防护数据文件。
  3. 在“名称”中指定防护数据文件的友好名称,并可选择添加说明。 我们建议你指示防护数据文件是用于其名称中的现有 VM 还是新 VM,以便于再次查找。
  4. 选择“ 导入 ”,将防护数据保存在 VMM 中。

若要管理导入的防护数据文件,请转到“库”VM 防护数据”(在“配置文件”下)。

预配新的受防护的 VM

  1. 在开始之前,请确保已准备就绪所有先决条件。
  2. “VM 和服务”中,选择“ 创建虚拟机 ”以打开“创建虚拟机向导”。
  3. “选择源”中,选择“ 使用现有虚拟机、VM 模板或虚拟硬盘>浏览”。
  4. 选择受防护的 VM 模板或已签名模板磁盘。 两者都由 VMM 中盾牌图标的图像标识。
  5. “选择防护数据文件”中,选择“ 浏览 ”并选择屏蔽数据文件。 只显示可用于创建新的受防护 VM 的防护数据文件。 选择 “确定>”“下一步 ”以继续。
  6. 请按照这些说明完成向导,并在主机/云上部署 VM。

完成向导后,VMM 将从磁盘或模板创建新的受防护的 VM:

  1. 从 VMM 库复制模板磁盘 (VHDX) 文件
  2. VM 预配对防护数据文件中的数据进行解密,完成 unattend.xml 文件中的任何替换字符串,并将其他文件从防护数据文件复制到操作系统驱动器(如 RDP 证书)。
  3. VM 重启、自定义并通过 BitLocker 重新加密。 BitLocker 全卷加密密钥存储在新 VM 的虚拟 TPM 中。
  4. 当 unattend.xml 文件中的关闭命令运行时,VM 自定义完成;VM 保持关闭状态。 如果自定义停止,请检查 unattend.xml 文件,方法是通过在受防护的 VM 上运行该 unattend.xml 文件,或使用允许控制台访问的支持加密的防护数据文件。
  5. 在 VMM 检测到专用化已完成后,它将更新其状态以指示 VM 已创建,如果已选择,则启动该 VM。

防护现有 VM

可以为当前在未受保护的 VMM 结构中的主机上运行的 VM 启用防护。

  1. 在开始之前,请确保已具备所有先决条件。
  2. 使 VM 脱机。
  3. 我们建议在将 BitLocker 移至受保护的主机前,在附加到 VM 的所有磁盘上启用 BitLocker。
  4. 选择 VM >“属性”>“屏蔽”,并选择屏蔽数据文件。
  5. 关闭 VM,从不受保护的主机导出,并将其导入到受保护的主机。 只有受保护的主机才能访问 VM 数据。

后续步骤

若要了解如何为 VM 配置性能和可用性设置,请查看管理虚拟机设置