在 VMM 網狀架構中佈建受防護的 Linux 虛擬機器

重要

此版本的 Virtual Machine Manager (VMM) 已達到終止支援。 建議您 升級至 VMM 2022。

本文說明如何在 System Center - Virtual Machine Manager (VMM) 中部署 Linux 受防護的虛擬機 (VM) 。

防護 Linux VM 的程序

Windows Server 2016 為 Windows 作業系統型的虛擬機器導入受防護 VM 的概念。 受防護的 VM 可以在 VM 的資料處於待用或不受信任的軟體在 Hyper-V 主機上執行時，防範惡意的系統管理員動作。 深入瞭解。

Hyper-V 透過 Windows Server 1709 版，引入了對佈建 Linux 受防護 VM 的支援。 在 VMM 1801 中提供這項支援。

防護 Linux VM

1. 建立已簽署的範本磁碟。
2. 在 VMM 中建立受 Linux 防護的 VM 範本。
3. 產生防護資料檔案 (PDK)。
4. 使用 VM 範本和 PDK 建立 Linux 受防護的 VM。

注意

如果您使用無線應用通訊協定 (WAP)，您可以使用佈建 Windows 受防護的 VM 相同的方式，佈建 Linux 受防護的 VM。

準備範本磁碟

1. 請遵循下列步驟來建立範本磁碟。

2. 在指示的 [準備 Linux 映像] 區段中，先安裝 VMM 特殊化代理程式，然後再安裝 lsvmtools。

簽署範本磁碟

1. 產生憑證。 您可以使用自我簽署憑證以供測試。

   使用下列 Cmdlet 範例：

   
    	$cert = New-SelfSignedCertificate -DnsName '<<signing.contoso.com>>'
   
   

2. 使用 Windows Server 1709 機器簽署磁碟。 使用下列 Cmdlet 範例：

   Protect-TemplateDisk -Path "<<Path to the VHDX>>" -TemplateName "<<Template Name>>" -Version <<x.x.x.x>> -Certificate $cert -ProtectedTemplateTargetDiskType PreprocessedLinux
   
   

3. 將範本磁碟和已簽署的映像複製到 VMM 程式庫。

在 VMM 中建立 Linux 受防護的 VM 範本

1. 在 VMM 主控台程式庫中，選取 [建立 VM 範本]。

2. 在 [選取來源] 中，選取 [使用現有的 VM 範本]。 瀏覽以選取您新增至 VMM 程式庫的已簽署範本磁碟。 然後，選取 [下一步]。

3. 在 [設定硬體] 中：

   • 在 [韌體] 底下，選取 [ 啟用安全開機]。 從 [ 安全開機範本] 下拉功能表中，選取 [OpenSourceShieldedVM]。

     注意

     這是新增至 RS3 主機的開機範本。 如果 VMM 中沒有任何 RS3 主機，此選項將不會顯示在 [安全開機範本] 功能表中。

   • 選取其他硬體內容的必要設定，例如處理器、記憶體和 VM 網路。

     

4. 在 [設定作業系統] 中：

   • 選取 [客體 OS 配置檔] 作為 [建立新的 Linux 作業系統自定義設定]。

   • 選取稍早所建立範本磁碟上的作業系統 (Ubuntu Linux)。

     

5. 選取 [下一步] 。

6. 在 [摘要] 中，檢閱詳細資料，然後選取 [建立以完成在 VMM 中產生 Linux 受防護的 VM 範本]。

產生防護資料檔案

產生防護資料檔案 (PDK) 之前：

1. 從主機守護者服務 (HGS) 取得守護者中繼資料。
2. 擷取磁碟區簽章目錄 (VSC) 檔案。

若要產生 PDK，請在執行 Windows Server 1709 版的伺服器上，執行下列範例指令碼：

# Create a VolumeSignatureCatalog file for the template disk to ensure that no one tampers with the template disk at the deployment time
# Create an owner certificate
$Owner = New-HgsGuardian –Name '<<Owner>>' –GenerateCertificates

# Import the HGS guardian
$Guardian = Import-HgsGuardian -Path <<Import the xml from pre-step 1>> -Name '<<Name of the guardian>>' –AllowUntrustedRoot

# Create the PDK file on a server running Windows Server version 1709

New-ShieldingDataFile -ShieldingDataFilePath '<<Shielding Data file path>>' -Owner $Owner –Guardian $guardian –VolumeIDQualifier (New-VolumeIDQualifier -VolumeSignatureCatalogFilePath '<<Path to the .vsc file generated in pre-step 2>>' -VersionRule Equals) -AnswerFile '<<Path to LinuxOsConfiguration.xml>>' -policy Shielded

使用 VM 範本和 PDK 建立 Linux 受防護的 VM

1. 在 VMM 主控台中，選取 [建立虛擬機器]。

2. 選取 [使用現有的虛擬機、VM 範本或虛擬硬碟]。

3. 選取 [Linux 受防護的 VM 範本>] [下一步]。

   

4. 為 VM 命名，然後選取 [下一步]。

5. 在 [ 設定硬體] 中，確定詳細數據符合您的範本設定。 然後，選取 [下一步]。

6. 在 [設定作業系統] 設定中，確認詳細資料符合建立範本時所做的設定。 然後，選取 [下一步]。

7. 選取您建立的防護資料檔案 (PDK)。

8. 選取目的地主機群組，然後選取 [ 下一步]。

9. 根據 VMM 放置引擎所指定的分級來選取主機。 然後，選取 [下一步]。

10. 在 [設定設定值] 中，檢閱虛擬機器設定，然後選取 [下一步]。

11. 檢閱 [新增內容] 中的動作，然後選取 [下一步]。

12. 若要建立 Linux 受防護的 VM，選取 [建立]。

佈建 VM 時，VMM 特殊化代理程式會讀取 Linux 設定檔 PDK，並自訂 VM。

下一步

• 取得受防護網狀架構與受防護 VM 的概觀。
• 深入了解 Linux 受防護的 VM 工具 /(英文/)。