在 VMM 網狀架構中佈建受防護的虛擬機器
重要
此版本的 Virtual Machine Manager (VMM) 已終止支援。 建議您 升級至 VMM 2022。
本文說明在 System Center - Virtual Machine Manager (VMM) 計算網狀架構中,如何部署受防護的虛擬機器。
您有幾種方式可以在 VMM 中部署受防護 VM:
- 將現有的 VM 轉換成受防護的 VM。
- 使用已簽署的虛擬機硬碟建立新的受防護 VM (VHDX) ,並選擇性地建立 VM 範本。
注意
您可能會遇到使用負載平衡器或 WAN 優化裝置透過網路部署受防護虛擬機的問題。 封包在傳輸期間必須修改,受防護的 VM 才能成功部署。
開始之前
觀賞在 VMM 中佈建受防護 VM 的兩分鐘快速概觀影片。 然後,請確定您已完成下列動作:
準備 HGS 伺服器:您應該部署一個 HGS 伺服器。 深入瞭解。
設定 VMM:您需要在 VMM 中設定全域 HGS 設定,並至少設定一部受防護主機。 如果受防護主機屬於雲端,則應該啟用雲端以支援受防護 VM。 深入瞭解。
準備受防護的 VHDX 和 VM 範本:您應該從受防護的虛擬硬碟部署受防護的 VM (VHDX) ,並選擇性地使用 VM 範本。 深入了解如何進行準備。
注意
您無法使用服務範本來建立受防護的 VM。 請改用指令碼。
準備防護資料檔案:若要使用 VMM 程式庫中已簽署的範本磁碟,租用戶必須準備一或多個防護資料檔案。 此檔案包含租使用者部署 VM 所需的所有秘密,包括用來特製化 VM、憑證和系統管理員帳戶密碼的自動安裝檔案。 檔案也會指定租用戶信任的受防護網狀架構,以用來裝載他們的 VM,以及和已簽署範本磁碟有關的資訊。 檔案也會被加密且只有租用戶所信任受防護網狀架構中的主機才能讀取。 深入瞭解。
設定主機群組:為了便於管理,我們建議將受防護主機放置在專用的 VMM 主機群組中。
驗證現有的 VM 需求:如果您想要將現有 VM 轉換成受防護 VM,請注意以下事項:
- VM 必須是第 2 代,並已啟用 Microsoft Windows 安全開機範本
- 磁碟上的作業系統必須是下列其中一個:
- Windows Server 2016、Windows Server 2012 R2、Windows Server 2012
- Windows 10、Windows 8.1、Windows 8
- VM 的 OS 磁碟必須使用 GUID 磁碟分區數據表。 第 2 代 VM 需要此表格才能支援 UEFI。
- VM 必須是第 2 代,並已啟用 Microsoft Windows 安全開機範本
- 磁碟上的作業系統必須是下列其中一個:
- Windows Server 2016、Windows Server 2012 R2、Windows Server 2012
- Windows 10
- VM 的 OS 磁碟必須使用 GUID 磁碟分割表格。 第 2 代 VM 需要此表格才能支援 UEFI。
- VM 必須是第 2 代,並已啟用 Microsoft Windows 安全開機範本
- 磁碟上的作業系統必須是下列其中一個:
- Windows Server 2022、Windows Server 2019、Windows Server 2016
- Windows 11、Windows 10
- VM 的 OS 磁碟必須使用 GUID 磁碟分區數據表。 第 2 代 VM 需要此表格才能支援 UEFI。
設定協助程式 VHD:裝載服務提供者必須建立作為協助程式 VHD 的 VM,以轉換現有的機器。 深入瞭解。
將防護資料檔案新增至 VMM
VM 擁有者必須產生防護資料檔案並將它新增至 VMM,您才能將現有的 VM 轉換成受防護的 VM,或從範本佈建新的受防護 VM。
如果您尚未匯入防護資料檔,請完成下列步驟:
- 如果目前沒有防護資料檔案,請建立防護資料檔案。 確定防護數據檔會授權裝載網狀架構 VMM 管理以執行受防護的 VM。
- 在 VMM 控制台中,選取 [ 連結庫>匯入防護數據>流覽 ],然後選取您的防護數據檔。
- 在 [名稱] 中指定防護資料檔案的易記名稱,並選擇性地新增描述。 建議您指出防護數據檔是否要與名稱中的現有或新的 VM 搭配使用,以便更輕鬆地再次尋找。
- 選取 [ 匯 入] 以將防護數據儲存在 VMM 中。
若要管理匯入的防護數據檔,請移至 [配置檔] 底下的 [ 連結庫>VM 防護數據 ] () 。
佈建新的受防護 VM
- 開始之前,請確定您已具備所有必要條件。
- 在 [VM 和服務] 中,選取 [ 建立虛擬機 ] 以開啟 [建立虛擬機精靈]。
- 在 [選取來源] 中,選取 [使用現有的虛擬機、VM 範本或虛擬硬碟>流覽]。
- 選取受防護的 VM 範本或已簽署的範本磁碟。 這兩者都是由
- 在 [選取防護數據檔] 中,選取 [流覽 ] 並選取防護數據檔。 只會顯示可用來建立新的受防護 VM 之防護資料檔案。 選取 [ 確定>下一步] 繼續。
- 依照這些指示來完成精靈,然後在主機/雲端部署 VM。
當您完成精靈時,VMM 會從磁碟或範本建立新的受防護 VM:
- 範本磁碟 (VHDX) 檔案是從 VMM 程式庫複製
- VM 佈建會將防護資料檔案中的資料解密,完成 unattend.xml 檔案中的任何替代字串,以及從防護資料檔案複製其他檔案到作業系統磁碟機 (例如 RDP 憑證)。
- VM 會重新啟動,自訂,以及使用 BitLocker 重新加密。 BitLocker 完整磁碟加密金鑰會儲存在新 VM 的虛擬 TPM 中。
- 當 unattend.xml 檔案中的關機命令執行時,就會完成 VM 自定義;VM 會保持關閉狀態。 如果無法進行自訂,請在受防護 VM 上加以執行,或使用允許存取主控台之支援加密的防護資料檔案,來檢查 unattend.xml 檔案。
- VMM 偵測到特製化已完成之後,它會更新其狀態,指出 VM 已建立,而且若經選取,則會啟動 VM。
防護現有的 VM
您可以為目前在 VMM 網狀架構中未受防護主機上執行的 VM 啟用防護。
- 開始之前,請確定您已具備所有必要條件。
- 讓 VM 離線。
- 我們建議您先在連接至 VM 的所有磁碟上啟用 BitLocker,再將它們移到受防護主機。
- 選取 VM >屬性>防護,然後選取防護數據檔。
- 關閉 VM,從未受防護主機匯出,然後將它匯入受防護主機。 只有受防護主機才能存取 VM 資料。
下一步
請參閱管理虛擬機器設定以了解如何設定 VM 的效能和可用性設定。
意見反應
https://aka.ms/ContentUserFeedback。
即將登場:在 2024 年,我們將逐步淘汰 GitHub 問題作為內容的意見反應機制,並將它取代為新的意見反應系統。 如需詳細資訊,請參閱:提交並檢視相關的意見反應