在 VMM 網狀架構中佈建受防護的 Linux 虛擬機器Provision a shielded Linux virtual machine in the VMM fabric

重要

已不再支援此版本的 Virtual Machine Manager (VMM),建議升級至 VMM 2019This version of Virtual Machine Manager (VMM) has reached the end of support, we recommend you to upgrade to VMM 2019.

本文描述如何在 System Center 1801 - Virtual Machine Manager (VMM) 中部署受防護的 Linux 虛擬機器 (VM)。This article describes how to deploy Linux shielded virtual machines (VMs) in System Center 1801 - Virtual Machine Manager (VMM).

防護 Linux VM 的程序Procedure to shield a Linux VM

Windows Server 2016 為 Windows 作業系統型的虛擬機器導入受防護 VM 的概念。Windows Server 2016 introduced the concept of a shielded VM for Windows OS-based virtual machines. 受防護的 VM 可以在 VM 的資料處於待用或不受信任的軟體在 Hyper-V 主機上執行時,防範惡意的系統管理員動作。Shielded VMs provide protection against malicious administrator actions when the VM's data is at rest or when untrusted software is running on Hyper-V hosts. 進一步瞭解Learn more.

Hyper-V 透過 Windows Server 1709 版,引入了對佈建 Linux 受防護 VM 的支援。With Windows Server version 1709, Hyper-V introduced support for provisioning Linux shielded VMs. 在 VMM 1801 中提供這項支援。This support is available in VMM 1801.

防護 Linux VMShield a Linux VM

  1. 建立已簽署的範本磁碟。Create a signed template disk.
  2. 在 VMM 中建立 Linux 受防護的 VM 範本。Create a Linux shielded VM template in VMM.
  3. 產生防護資料檔案 (PDK)。Generate a shielding data file (PDK).
  4. 使用 VM 範本和 PDK 建立 Linux 受防護的 VM。Create a Linux shielded VM by using the VM template and the PDK.

注意

如果您使用無線應用通訊協定 (WAP),您可以使用佈建 Windows 受防護的 VM 相同的方式,佈建 Linux 受防護的 VM。If you use Wireless Application Protocol (WAP), you can provision Linux shielded VMs in the same way you provision Windows shielded VMs.

準備範本磁碟Prepare a template disk

  1. 請遵循下列步驟來建立範本磁碟。Follow these steps to create the template disk.

  2. 在指示的 [準備 Linux 映像] 區段中,先安裝 VMM 特殊化代理程式,然後再安裝 lsvmtools。In the Preparing a Linux Image section of the directions, before you install lsvmtools, install the VMM specialization agent.

簽署範本磁碟Sign the template disk

  1. 產生憑證。Generate a certificate. 您可以使用自我簽署憑證以供測試。You can use a self-signed certificate for testing.

    使用下列 Cmdlet 範例:Use the following sample cmdlet:

    
        $cert = New-SelfSignedCertificate -DnsName '<<signing.contoso.com>>'
    
    
  2. 使用 Windows Server 1709 機器簽署磁碟。Sign the disk by using a Windows Server 1709 machine. 使用下列 Cmdlet 範例:Use the following sample cmdlet:

    Protect-TemplateDisk -Path "<<Path to the VHDX>>" -TemplateName "<<Template Name>>" -Version <<x.x.x.x>> -Certificate $cert -ProtectedTemplateTargetDiskType PreprocessedLinux
    
    
  3. 將範本磁碟和簽署的映像複製到 VMM 程式庫。Copy the template disk and the signed image to the VMM library.

在 VMM 中建立 Linux 受防護的 VM 範本Create a Linux shielded VM template in VMM

  1. 在 VMM 主控台程式庫中,選取 [建立 VM 範本] 。In the VMM console library, select Create VM Template.

  2. 在 [選取來源] 中,選取 [使用現有的 VM 範本] 。In Select Source, select Use an existing VM template. 瀏覽以選取您新增至 VMM 程式庫的已簽署範本磁碟。Browse to select the signed template disk that you added to the VMM library. 然後選取 [下一步] 。Then select Next.

  3. 在 [設定硬體] 中:In Configure Hardware:

    • 在 [韌體] 底下,選取 [啟用安全開機] 。Under Firmware, select Enable secure boot. 從 [安全開機範本] 下拉式功能表中,選取 [OpenSourceShieldedVM] 。From the Secure boot template drop-down menu, select OpenSourceShieldedVM.

      注意

      這是新增至 RS3 主機的開機範本。This boot template is a new addition to RS3 hosts. 如果 VMM 中沒有任何 RS3 主機,此選項將不會顯示在 [安全開機範本] 功能表中。If no RS3 hosts are in VMM, this option won't show up on the Secure boot template menu.

    • 選取其他硬體內容的必要設定,例如處理器、記憶體和 VM 網路。Select the required configuration for other hardware properties, such as processors, memory, and the VM network.

      Linux 受防護 VM 的硬體設定

  4. 在 [設定作業系統] 中:In Configure Operating System:

    • 選取客體作業系統設定檔作為[建立新的 Linux 作業系統自訂設定] 。Select the Guest OS profile as Create new Linux operating system customization settings.

    • 選取稍早所建立範本磁碟上的作業系統 (Ubuntu Linux)。Select the OS on the template disk that you created earlier (Ubuntu Linux).

      適用於 VM 範本作業系統的設定

  5. 選取 [下一步] 。Select Next.

  6. 在 [摘要] 中,檢閱詳細資料,然後選取 [建立以完成在 VMM 中產生 Linux 受防護的 VM 範本] 。In Summary, review the details and select Create to finish generation of Linux shielded VM template in VMM.

產生防護資料檔案Generate the shielding data file

產生防護資料檔案 (PDK) 之前:Before you generate the shielding data file (PDK):

  1. 從主機守護者服務 (HGS) 取得守護者中繼資料Get the guardian metadata from the Host Guardian Service (HGS).
  2. 擷取磁碟區簽章目錄 (VSC) 檔案Extract the volume signature catalog (VSC) file.

若要產生 PDK,請在執行 Windows Server 1709 版的伺服器上,執行下列範例指令碼:To generate the PDK, run the following sample script on a server that's running Windows Server version 1709:


# Create a VolumeSignatureCatalog file for the template disk to ensure that no one tampers with the template disk at the deployment time
# Create an owner certificate
$Owner = New-HgsGuardian –Name '<<Owner>>' –GenerateCertificates

# Import the HGS guardian
$Guardian = Import-HgsGuardian -Path <<Import the xml from pre-step 1>> -Name '<<Name of the guardian>>' –AllowUntrustedRoot

# Create the PDK file on a server running Windows Server version 1709

New-ShieldingDataFile -ShieldingDataFilePath '<<Shielding Data file path>>' -Owner $Owner –Guardian $guardian –VolumeIDQualifier (New-VolumeIDQualifier -VolumeSignatureCatalogFilePath '<<Path to the .vsc file generated in pre-step 2>>' -VersionRule Equals) -AnswerFile '<<Path to LinuxOsConfiguration.xml>>' -policy Shielded

使用 VM 範本和 PDK 建立 Linux 受防護的 VMCreate a Linux shielded VM by using the VM template and the PDK

  1. 在 VMM 主控台中,選取 [建立虛擬機器] 。In the VMM console, select Create Virtual Machine.

  2. 選取 [使用現有虛擬機器、VM 範本或虛擬硬碟] 。Select Use an existing virtual machine, VM template, or virtual hard disk.

  3. 選取 [Linux 受防護的 VM 範本] > [下一步] 。Select Linux shielded VM template > Next.

    選取新虛擬機器的來源

  4. 為 VM 命名,然後選取 [下一步] 。Name the VM and select Next.

  5. 在 [設定硬體] 中,確定詳細資料符合您的範本設定。In Configure Hardware, make sure the details match your template settings. 然後選取 [下一步] 。Then select Next.

  6. 在 [設定作業系統] 設定中,確認詳細資料符合建立範本時所做的設定。In Configure Operating System settings, ensure the details conform to the settings you made when you created the template. 然後選取 [下一步] 。Then select Next.

  7. 選取您建立的防護資料檔案 (PDK)。Select the shielding data file (PDK) that you created.

  8. 選取目的地主機群組,然後選取 [下一步] 。Select the destination host group and then select Next.

  9. 根據 VMM 放置引擎所指定的分級來選取主機。Select the host by the rating that the VMM placement engine gave. 然後選取 [下一步] 。Then select Next.

  10. 在 [設定設定值] 中,檢閱虛擬機器設定,然後選取 [下一步] 。In Configure Settings, review the virtual machine settings and select Next.

  11. 檢閱 [新增內容] 中的動作,然後選取 [下一步] 。Review the actions in Add properties and select Next.

  12. 若要建立 Linux 受防護的 VM,選取 [建立] 。To create the Linux shielded VM, select Create.

佈建 VM 時,VMM 特殊化代理程式會讀取 Linux 設定檔 PDK,並自訂 VM。While provisioning the VM, the VMM specialization agent reads the Linux configuration file PDK and customizes the VM.

後續步驟Next steps