Zřízení strážených hostitelů v nástroji VMM

Tento článek popisuje, jak nasadit strážené hostitele Hyper-V ve výpočetních prostředcích infrastruktury nástroje System Center Virtual Machine Manager (VMM). Přečtěte si další informace o strážených prostředcích infrastruktury.

Existuje několik způsobů, jak nastavit strážené hostitele Hyper-V v prostředcích infrastruktury nástroje VMM.

• Nakonfigurujte existujícího hostitele tak, aby byl stráženým hostitelem: Existujícího hostitele můžete nakonfigurovat tak, aby spouštěl stíněné virtuální počítače.
• Přidání nebo zřízení nového stráženého hostitele: Tento hostitel může být:
  • Existující počítač s Windows Serverem (s rolí Hyper-V nebo bez)
  • Holý počítač

Strážené hostitele nastavíte v prostředcích infrastruktury nástroje VMM následujícím způsobem:

1. Konfigurace globálního nastavení služby HGS: VMM připojí všechny strážené hostitele ke stejnému serveru služby Strážce hostitele (HGS), abyste mohli úspěšně migrovat stíněné virtuální počítače mezi hostiteli. Zadáte globální nastavení služby HGS, která platí pro všechny strážené hostitele, a můžete zadat nastavení specifická pro hostitele, která přepíší globální nastavení. Nastavení zahrnuje:

   • Adresa URL ověření identity: Adresa URL, kterou hostitel používá pro připojení ke službě ověřování HGS. Tato služba autorizuje hostitele ke spouštění stíněných virtuálních počítačů.
   • Adresa URL serveru ochrany klíčů: Adresa URL, kterou hostitel používá k načtení klíče potřebného k dešifrování virtuálních počítačů. Aby bylo možné načíst klíče, musí hostitel předat ověření identity.
   • Zásady integrity kódu: Zásady integrity kódu omezují software, který může běžet na stráženém hostiteli. Pokud je služba HGS nakonfigurovaná tak, aby používala ověření identity čipem TPM, musí být strážení hostitelé nakonfigurovaní tak, aby používali zásady integrity kódu autorizované serverem HGS. V nástroji VMM můžete zadat umístění zásad integrity kódu a nasadit je do hostitelů. Tato možnost je nepovinná a není nutná ke správě strážených prostředků infrastruktury.
   • Pomocný virtuální pevný disk stínění virtuálního počítače: Speciálně připravený virtuální pevný disk, který slouží k převodu stávajících virtuálních počítačů na stíněné virtuální počítače. Pokud chcete chránit stávající virtuální počítače, musíte toto nastavení nakonfigurovat.

2. Nakonfigurujte cloud: Pokud bude strážený hostitel součástí cloudu VMM, musíte cloudu povolit podporu stíněných virtuálních počítačů.

Než začnete

Než budete pokračovat, ujistěte se, že jste nasadili a nakonfigurovali službu Strážce hostitele. Další informace o konfiguraci služby HGS najdete v dokumentaci k Windows Serveru.

Dále se ujistěte, že všechny hostitele, kteří se stanou stráženými hostiteli, splňují požadavky strážených hostitelů:

• Operační systém: Na hostitelských serverech musí běžet Windows Server Datacenter. Doporučujeme použít jádro serveru pro strážené hostitele.
• Role a funkce: Hostitelské servery by měly používat roli Hyper-V a funkci podpory hyper-V strážce hostitele. Podpora technologie Hyper-V Strážce hostitele umožňuje hostiteli komunikovat s HGS, aby otestoval jeho stav a požádal o klíče pro chráněné virtuální počítače. Pokud váš hostitel používá Nano Server, měl by mít nainstalované balíčky Compute, SCVMM-Package, SCVMM-Compute, SecureStartup a ShieldedVM.
• Ověření identity čipem TPM: Pokud je vaše služba HGS nakonfigurovaná tak, aby používala ověření identity TPM, musí hostitelské servery:
  • Použití rozhraní UEFI 2.3.1c a modulu TPM 2.0
  • Spouštění v režimu UEFI (ne v systému BIOS nebo starší verzi)
  • Povolení zabezpečeného spouštění
• Registrace HGS: Hostitelé Hyper-V musí být zaregistrovaní v HGS. Způsob registrace závisí na tom, jestli služba HGS používá ověřování AD nebo TPM. Další informace
• Migrace za provozu: Pokud chcete migrovat chráněné virtuální počítače za provozu, musíte nasadit dva nebo více strážených hostitelů.
• Doména: Strážené hostitele a server VMM musí být ve stejné doméně nebo v doménách s obousměrným vztahem důvěryhodnosti.

Konfigurace globálního nastavení služby HGS

Před přidáním strážených hostitelů do výpočetních prostředků infrastruktury VMM musíte nástroj VMM nakonfigurovat s informacemi o HGS pro prostředky infrastruktury. Stejná služba HGS se použije pro všechny strážené hostitele spravované nástrojem VMM.

1. Získejte adresy URL ověření identity a ochrany klíčů pro prostředky infrastruktury od správce HGS.

2. V konzole VMM vyberte Nastavení> služby Strážce hostitele.

3. Do příslušných polí zadejte adresy URL ověření identity a ochrany klíčů. V tuto chvíli nemusíte konfigurovat zásady integrity kódu a pomocné části stínění virtuálních pevných disků virtuálních počítačů.
   
   

4. Výběrem možnosti Dokončit uložte konfiguraci.

Přidání nebo zřízení nového stráženého hostitele

1. Přidejte hostitele:
   • Pokud chcete přidat existující server s Windows Serverem jako strážený hostitel Hyper-V, přidejte ho do prostředků infrastruktury.
   • Pokud chcete zřídit hostitele Hyper-V z holého počítače, postupujte podle těchto požadavků a pokynů.

     Poznámka:

     Hostitele můžete nasadit jako strážený, když ho zřídíte (přidání nastavení>operačního systému Průvodce >prostředkem nakonfigurujete jako strážený hostitel).

2. Pokračujte k další části a nakonfigurujte hostitele jako stráženého hostitele.

Nakonfigurujte existujícího hostitele tak, aby byl stráženým hostitelem.

Pokud chcete nakonfigurovat existujícího hostitele Hyper-V spravovaného nástrojem VMM jako stráženého hostitele, proveďte následující kroky:

1. Umístěte hostitele do režimu údržby.

2. Ve všech hostitelích klikněte pravým tlačítkem myši na službu Strážce hostitele vlastností>hostitele.>

   

3. Vyberte, pokud chcete povolit funkci podpory Hyper-V strážce hostitele a nakonfigurovat hostitele.

   Poznámka:

   • Globální adresy URL serveru pro ověření identity a ochranu klíčů se nastaví na hostiteli.
   • Pokud tyto adresy URL upravíte mimo konzolu VMM, musíte je také aktualizovat v nástroji VMM. Pokud ne, nástroj VMM neumisťuje stíněné virtuální počítače na hostitele, dokud se adresy URL znovu neshodují. Můžete také zrušit zaškrtnutí políčka Povolit a znovu nakonfigurovat hostitele pomocí adres URL nakonfigurovaných v nástroji VMM.

4. Pokud ke správě zásad integrity kódu používáte nástroj VMM, můžete povolit druhé zaškrtávací políčko a vybrat příslušné zásady pro systém.

5. Výběrem možnosti OK aktualizujte konfiguraci hostitele.

6. Vynechte hostitele z režimu údržby.

Nástroj VMM zkontroluje, jestli hostitel předává ověření, když ho přidáte, a pokaždé, když se aktualizuje stav hostitele. Nástroj VMM nasazuje a migruje stíněné virtuální počítače jenom na hostitelích, kteří prošli ověřením identity. Stav ověření identity hostitele můžete zkontrolovat v celkovém stavu klienta HGS stavu>vlastností>.

Povolení strážených hostitelů v cloudu VMM

Povolení cloudu pro podporu strážených hostitelů:

1. V konzole VMM vyberte virtuální počítače a cloudy služeb>. Klikněte pravým tlačítkem myši na vlastnosti názvu >cloudu.
2. V nabídce Obecná>podpora stíněných virtuálních počítačů vyberte Možnost Podporováno v tomto privátním cloudu.

Správa a nasazení zásad integrity kódu pomocí nástroje VMM

Ve strážených prostředcích infrastruktury nakonfigurovaných tak, aby používal ověření identity čipem TPM, musí být každý hostitel nakonfigurovaný pomocí zásad integrity kódu, které služba Strážce hostitele důvěřuje. Pokud chcete usnadnit správu zásad integrity kódu, můžete pomocí nástroje VMM nasadit nové nebo aktualizované zásady pro strážené hostitele.

Pokud chcete nasadit zásadu integrity kódu na stráženého hostitele spravovaného nástrojem VMM, proveďte následující kroky:

1. Vytvořte zásady integrity kódu pro každého referenčního hostitele ve vašem prostředí. Pro každou jedinečnou konfiguraci hardwaru a softwaru strážených hostitelů potřebujete jinou zásadu CI.
2. Uložte zásady CI do zabezpečené sdílené složky. Účty počítačů pro každého stráženého hostitele vyžadují ke sdílené složce přístup pro čtení. Přístup k zápisu by měli mít jenom důvěryhodní správci.
3. V konzole VMM vyberte Nastavení> služby Strážce hostitele.
4. V části Zásady integrity kódu vyberte Přidat a zadejte popisný název a cestu k zásadám CI. Tento krok opakujte pro každou jedinečnou zásadu CI. Ujistěte se, že zásady pojmenujete způsobem, který vám pomůže určit, které zásady se mají použít u kterých hostitelů.
5. Výběrem možnosti Dokončit uložte konfiguraci.

Teď pro každého stráženého hostitele proveďte následující kroky, abyste použili zásady integrity kódu:

1. Umístěte hostitele do režimu údržby.

2. Ve všech hostitelích klikněte pravým tlačítkem myši na službu Strážce hostitele vlastností>hostitele.>

   

3. Tuto možnost vyberte, pokud chcete povolit konfiguraci hostitele pomocí zásad integrity kódu. Pak vyberte odpovídající zásadu pro systém.

4. Pokud chcete použít změnu konfigurace, vyberte OK . Hostitel se může restartovat, aby mohl použít novou zásadu.

5. Vynechte hostitele z režimu údržby.

Upozorňující

Ujistěte se, že jste pro hostitele vybrali správné zásady integrity kódu. Pokud se na hostitele použije nekompatibilní zásada, některé aplikace, ovladače nebo součásti operačního systému už nemusí fungovat.

Pokud aktualizujete zásady integrity kódu ve sdílené složce a chcete také aktualizovat strážené hostitele, můžete to provést provedením následujících kroků:

1. Umístěte hostitele do režimu údržby.
2. Ve všech hostitelích klikněte pravým tlačítkem myši na hostitele >Použít nejnovější zásady integrity kódu.
3. Vynechte hostitele z režimu údržby.

Další kroky

• Nastavte stíněný disk šablony, disk nástroje a šablonu virtuálního počítače.