在 VMM 網狀架構中佈建受防護的 Linux 虛擬機器
重要
此版本的 Virtual Machine Manager (VMM) 已達到終止支援。 建議您 升級至 VMM 2022。
本文說明如何在 System Center - Virtual Machine Manager (VMM) 中部署 Linux 受防護的虛擬機 (VM) 。
防護 Linux VM 的程序
Windows Server 2016 為 Windows 作業系統型的虛擬機器導入受防護 VM 的概念。 受防護的 VM 可以在 VM 的資料處於待用或不受信任的軟體在 Hyper-V 主機上執行時,防範惡意的系統管理員動作。 深入瞭解。
Hyper-V 透過 Windows Server 1709 版,引入了對佈建 Linux 受防護 VM 的支援。 在 VMM 1801 中提供這項支援。
防護 Linux VM
- 建立已簽署的範本磁碟。
- 在 VMM 中建立受 Linux 防護的 VM 範本。
- 產生防護資料檔案 (PDK)。
- 使用 VM 範本和 PDK 建立 Linux 受防護的 VM。
注意
如果您使用無線應用通訊協定 (WAP),您可以使用佈建 Windows 受防護的 VM 相同的方式,佈建 Linux 受防護的 VM。
準備範本磁碟
請遵循下列步驟來建立範本磁碟。
在指示的 [準備 Linux 映像] 區段中,先安裝 VMM 特殊化代理程式,然後再安裝 lsvmtools。
簽署範本磁碟
產生憑證。 您可以使用自我簽署憑證以供測試。
使用下列 Cmdlet 範例:
$cert = New-SelfSignedCertificate -DnsName '<<signing.contoso.com>>'
使用 Windows Server 1709 機器簽署磁碟。 使用下列 Cmdlet 範例:
Protect-TemplateDisk -Path "<<Path to the VHDX>>" -TemplateName "<<Template Name>>" -Version <<x.x.x.x>> -Certificate $cert -ProtectedTemplateTargetDiskType PreprocessedLinux
將範本磁碟和已簽署的映像複製到 VMM 程式庫。
在 VMM 中建立 Linux 受防護的 VM 範本
在 VMM 主控台程式庫中,選取 [建立 VM 範本]。
在 [選取來源] 中,選取 [使用現有的 VM 範本]。 瀏覽以選取您新增至 VMM 程式庫的已簽署範本磁碟。 然後,選取 [下一步]。
在 [設定硬體] 中:
在 [韌體] 底下,選取 [ 啟用安全開機]。 從 [ 安全開機範本] 下拉功能表中,選取 [OpenSourceShieldedVM]。
注意
這是新增至 RS3 主機的開機範本。 如果 VMM 中沒有任何 RS3 主機,此選項將不會顯示在 [安全開機範本] 功能表中。
選取其他硬體內容的必要設定,例如處理器、記憶體和 VM 網路。
在 [設定作業系統] 中:
選取 [客體 OS 配置檔] 作為 [建立新的 Linux 作業系統自定義設定]。
選取稍早所建立範本磁碟上的作業系統 (Ubuntu Linux)。
選取 [下一步] 。
在 [摘要] 中,檢閱詳細資料,然後選取 [建立以完成在 VMM 中產生 Linux 受防護的 VM 範本]。
產生防護資料檔案
產生防護資料檔案 (PDK) 之前:
若要產生 PDK,請在執行 Windows Server 1709 版的伺服器上,執行下列範例指令碼:
# Create a VolumeSignatureCatalog file for the template disk to ensure that no one tampers with the template disk at the deployment time
# Create an owner certificate
$Owner = New-HgsGuardian –Name '<<Owner>>' –GenerateCertificates
# Import the HGS guardian
$Guardian = Import-HgsGuardian -Path <<Import the xml from pre-step 1>> -Name '<<Name of the guardian>>' –AllowUntrustedRoot
# Create the PDK file on a server running Windows Server version 1709
New-ShieldingDataFile -ShieldingDataFilePath '<<Shielding Data file path>>' -Owner $Owner –Guardian $guardian –VolumeIDQualifier (New-VolumeIDQualifier -VolumeSignatureCatalogFilePath '<<Path to the .vsc file generated in pre-step 2>>' -VersionRule Equals) -AnswerFile '<<Path to LinuxOsConfiguration.xml>>' -policy Shielded
使用 VM 範本和 PDK 建立 Linux 受防護的 VM
在 VMM 主控台中,選取 [建立虛擬機器]。
選取 [使用現有的虛擬機、VM 範本或虛擬硬碟]。
選取 [Linux 受防護的 VM 範本>] [下一步]。
為 VM 命名,然後選取 [下一步]。
在 [ 設定硬體] 中,確定詳細數據符合您的範本設定。 然後,選取 [下一步]。
在 [設定作業系統] 設定中,確認詳細資料符合建立範本時所做的設定。 然後,選取 [下一步]。
選取您建立的防護資料檔案 (PDK)。
選取目的地主機群組,然後選取 [ 下一步]。
根據 VMM 放置引擎所指定的分級來選取主機。 然後,選取 [下一步]。
在 [設定設定值] 中,檢閱虛擬機器設定,然後選取 [下一步]。
檢閱 [新增內容] 中的動作,然後選取 [下一步]。
若要建立 Linux 受防護的 VM,選取 [建立]。
佈建 VM 時,VMM 特殊化代理程式會讀取 Linux 設定檔 PDK,並自訂 VM。
下一步
- 取得受防護網狀架構與受防護 VM 的概觀。
- 深入了解 Linux 受防護的 VM 工具 /(英文/)。
意見反應
https://aka.ms/ContentUserFeedback。
即將登場:在 2024 年,我們將逐步淘汰 GitHub 問題作為內容的意見反應機制,並將它取代為新的意見反應系統。 如需詳細資訊,請參閱:提交並檢視相關的意見反應