Compartir a través de

Aprovisionar hosts protegidos en el VMM

  • Artículo

En este artículo se describe cómo implementar hosts de Hyper-V protegidos en el tejido de proceso de System Center, Virtual Machine Manager (VMM). Obtén más información sobre el tejido protegido.

Hay un par de maneras de configurar hosts de Hyper-V protegidos en un tejido del VMM.

  • Configurar un host existente para que sea un host protegido: puedes configurar un host existente para ejecutar máquinas virtuales blindadas.
  • Agregar o aprovisionar un nuevo host protegido: este host podría ser:
    • Un equipo con Windows Server existente (con o sin el rol de Hyper-V)
    • Un ordenador sin sistema operativo

Puedes configurar hosts protegidos en el tejido del VMM de la siguiente manera:

  1. Configurar de la configuración global de HGS: VMM conecta todos los hosts protegidos al mismo servidor del Servicio de protección de host (HGS) para que puedas migrar correctamente las máquinas virtuales blindadas entre los hosts. Especifica la configuración global de HGS que se aplica a todos los hosts protegidos. También puedes especificar la configuración específica del host que reemplaza la configuración global. La configuración incluye:

    • La dirección URL de atestación: la dirección URL que el host usa para conectarse al servicio de atestación de HGS. Este servicio autoriza que un host ejecute máquinas virtuales blindadas.
    • La dirección URL del servidor de protección de claves: la dirección URL que usa el host para recuperar las claves necesarias para desencriptar las máquinas virtuales. El host debe pasar la atestación para recuperar claves.
    • Directivas de integridad de código: una directiva de integridad de código restringe el software que se puede ejecutar en un host protegido. Cuando HGS se ha configurado para usar la atestación de TPM, los hosts protegidos deben configurarse para usar una directiva de integridad de código autorizada por el servidor HGS. Puedes especificar la ubicación de las directivas de integridad de código en el VMM e implementarlas en los hosts. Haccer esto es opcional y no es necesario para administrar un tejido protegido.
    • VHD del asistente de blindaje de VM: un disco duro virtual especialmente preparado que se usa para convertir las máquinas virtuales existentes en máquinas virtuales blindadas. Debes configurar esta opción si deseas blindar las máquinas virtuales existentes.

  2. Configuración de la nube: si el host protegido se va a incluir en una nube del VMM, debes habilitar la nube para admitir máquinas virtuales blindadas.

Antes de comenzar

Asegúrate de que has implementado y configurado el servicio de protección de host antes de continuar. Obtén más información sobre cómo configurar HGS en la documentación de Windows Server.

Además, asegúrate de que los hosts que se convertirán en hosts protegidos cumplen los requisitos previos del host protegido:

  • Sistema operativo: los servidores del host deben ejecutar el centro de datos de Windows Server. Se recomienda usar Server Core para hosts protegidos.
  • Rol y características: los servidores de los hosts deben poder ejecutar el rol de Hyper-V y la característica de compatibilidad de Hyper-V de protección de hosts. La compatibilidad de Hyper-V de protección de hosts permite al host comunicarse con HGS para atestiguar su estado y solicitar las claves para máquinas virtuales blindadas. Si tu host ejecuta Nano Server, debes tener instalados los paquetes Compute, SCVMM-Package, SCVMM-Compute, SecureStartup y ShieldedVM.
  • Atestación de TPM: si tu HGS se ha configurado para usar la atestación de TPM, los servidores host deben:
    • Usar UEFI 2.3.1c y un módulo TPM 2.0
    • Arrancar en modo UEFI (no em modo BIOS o heredado)
    • Habilitar el arranque seguro
  • Registro de HGS: los hosts de Hyper-V deben registrarse con HGS. El modo en el que se registren dependerá de si HGS usa la atestación AD o de TPM. Más información
  • Migración en directo: si deseas migrar máquinas virtuales blindadas en directo, debes implementar dos o más hosts protegidos.
  • Dominio: los hosts protegidos y el servidor VMM deben estar en el mismo dominio o en dominios con confianza bidireccional.

Configuración de los valores globales de HGS

Para poder agregar hosts protegidos al tejido de proceso del VMM, debes configurar VMM con información sobre HGS para el tejido. El mismo HGS se usará para todos los hosts protegidos administrados por VMM.

  1. Obtén las direcciones URL de atestación y protección de claves para el tejido del administrador de HGS.

  2. En la consola de VMM, selecciona Configuración>Configuración del servicio de protección de host.

  3. Introduce las direcciones URL de atestación y protección de claves en sus respectivos campos. No es necesario que configures las directivas de integridad de código y las secciones del VHD auxiliar de blindaje de máquinas virtuales en este momento.

    Captura de pantalla de la ventana de configuración global de HGS.

  4. Seleccione Finalizar para guardar la configuración.

Agregar o aprovisionar un nuevo host protegido

  1. Agregar el host:
    • Si deseas agregar un servidor existente que ejecuta Windows Server como host de Hyper-V protegido, agrégalo al tejido.
    • Si deseas aprovisionar un host de Hyper-V desde un equipo sin sistema operativo, sigue estos requisitos previos e instrucciones.

      Nota:

      Al aprovisionar el host, puedes implementarlo como protegido (Asistente para agregar recursos >Configuración del SO>Configurar como host protegido).

  2. Ve a la siguiente sección para configurar el host como host protegido.

Configurar un host existente para que sea un host protegido

Para configurar un host de Hyper-V existente administrado por VMM para que sea un host protegido, tienes que completar los siguientes pasos:

  1. Activa el modo de mantenimiento del host.

  2. En Todos los hosts, haga clic con el botón derecho en el host >Propiedades>Servicio de protección de host.

    Captura de pantalla de Habilitar un host como host protegido.

  3. Selecciona esta opción para habilitar la característica de compatibilidad de Hyper-V de protección de hosts y configura el host.

    Nota:

    • La atestación global y las direcciones URL del servidor de protección de claves se establecerán en el host.
    • Si modificas estas direcciones URL fuera de la consola del VMM, también debes actualizarlas en el VMM. De lo contrario, VMM no colocará máquinas virtuales blindadas en el host hasta que las direcciones URL vuelvan a coincidir. También puedes desactivar y volver a activar la casilla Habilitar para volver a configurar el host con las direcciones URL configuradas en el VMM.

  4. Si usas VMM para administrar las directivas de integridad de código, puedes habilitar la segunda casilla y seleccionar la directiva adecuada para el sistema.

  5. Para actualizar la configuración del host, haz clic en Aceptar.

  6. Saca los discos del modo de mantenimiento.

Cuando agregas el host y cada vez que se actualice su estado, VMM comprueba que pasa la atestación. VMM solo implementa y migra máquinas virtuales blindadas en los hosts que han pasado la atestación. Puedes comprobar el estado de atestación de un host en Propiedades>Estado>HGS general del cliente.

Habilitar hosts protegidos en una nube del VMM

Habilita una nube para que admita los hosts protegidos:

  1. En la consola del VMM, selecciona Máquinas virtuales y servicios>Nubes. Haz clic con el botón derecho en el nombre de la nube >Propiedades.
  2. En General>Compatibilidad con máquinas virtuales blindadas, selecciona Compatible con esta nube privada.

Administrar e implementar directivas de integridad de código con VMM

En los tejidos protegidos configurados para usar la atestación de TPM, cada host debe configurarse con una directiva de integridad de código que sea de confianza para el servicio de protección de host. Para facilitar la administración de directivas de integridad de código, tienes la opción de usar VMM para implementar directivas nuevas o actualizadas en los hosts protegidos.

Para implementar una directiva de integridad de código en un host protegido administrado por VMM, tienes que completar los siguientes pasos:

  1. Crea una directiva de integridad de código para cada host de referencia en tu entorno. Necesitas una directiva de CI diferente para cada configuración única de hardware y software de los hosts protegidos.
  2. Almacena las directivas de CI en un recurso compartido de archivos seguro. Las cuentas de equipo de cada host protegido requieren acceso de lectura al recurso compartido. Solo los administradores de confianza deben tener acceso de escritura.
  3. En la consola de VMM, selecciona Configuración>Configuración del servicio de protección de host.
  4. En la sección Directivas de integridad de código, selecciona Agregar y especifica un nombre descriptivo y la ruta de acceso a una directiva de CI. Repite este paso para cada directiva de CI única. Asegúrate de asignar un nombre a las directivas de una manera que te ayude a identificar qué directiva se debe aplicar a los hosts. Captura de pantalla de cómo agregar una directiva de integridad de código.
  5. Seleccione Finalizar para guardar la configuración.

Ahora, para cada host protegido, completa los pasos siguientes para aplicar una directiva de integridad de código:

  1. Activa el modo de mantenimiento del host.

  2. En Todos los hosts, haga clic con el botón derecho en el host >Propiedades>Servicio de protección de host.

    Captura de pantalla de cómo aplicar una directiva de integridad de código.

  3. Selecciona esta opción para configurar el host con una directiva de integridad de código. A continuación, selecciona la directiva adecuada para el sistema.

  4. Haz clic en Aceptar para aplicar los cambios en la configuración. El Host puede reiniciarse para apliar la nueva directiva.

  5. Quita el host del modo de mantenimiento.

Advertencia

Asegúrate de que seleccionas la directiva de integridad de código correcta para el host. Si se aplica al host una directiva incompatible, es posible que algunas aplicaciones, controladores o componentes del sistema operativo dejen de funcionar.

Si actualizas la directiva de integridad de código en el recurso compartido de archivos y también deseas actualizar los hosts protegidos, puedes hacerlo completando los siguientes pasos:

  1. Activa el modo de mantenimiento del host.
  2. En Todos los hosts, haga clic con el botón derecho en el host >Aplicar directiva de integridad de código más reciente.
  3. Quita el host del modo de mantenimiento.

Pasos siguientes