Compartir a través de

Aprovisionar máquinas virtuales blindadas en el entorno de VMM

  • Artículo

En este artículo, se describe cómo implementar máquinas virtuales blindadas en el tejido de proceso de System Center Virtual Machine Manager (VMM).

Puedes implementar máquinas virtuales blindadas en VMM de dos maneras:

  • Convierte una VM existente en una VM blindada.
  • Crea una nueva VM blindada mediante un disco duro de máquina virtual firmado (VHDX) y, opcionalmente, una plantilla de VM.

Nota:

Puedes experimentar problemas al implementar una máquina virtual blindada a través de una red con un equilibrador de carga o un dispositivo de optimización WAN. Es necesario que el paquete no se modifique durante el tránsito para que las VM blindadas se implementen correctamente.

Antes de comenzar

Mira este vídeo que proporciona información general rápida en dos minutos sobre el aprovisionamiento de VM blindadas en VMM. Luego, asegúrate de que has hecho lo siguiente:

  1. Preparar un servidor HGS: debes tener implementado un servidor HGS. Más información.

  2. Configuración de VMM: debes configurar las opciones globales de HGS en VMM y configurar al menos un host protegido. Si los hosts protegidos pertenecen a una nube, la nube debe habilitarse para admitir VM blindadas. Más información.

  3. Preparación de una plantilla de VM y VHDX blindada: debes implementar VM blindadas desde un disco duro virtual blindado (VHDX) y, opcionalmente, mediante una plantilla de VM. Más información sobre cómo prepararlas.

    Nota:

    No se puede usar una plantilla de servicio para crear una VM blindada. Usa un script en su lugar.

  4. Preparación de los archivos de datos de protección: para usar los discos de plantilla firmados de la biblioteca VMM, los arrendatarios deben preparar uno o más archivos de datos de protección. Este archivo contiene todos los secretos que un arrendatario necesita para implementar una VM, incluido el archivo desatendido que se usa para especializar la VM, los certificados y las contraseñas de la cuenta de administrador. El archivo también especifica en qué infraestructura protegida confía un cliente para hospedar su VM y proporciona información sobre los discos de plantilla firmados. El archivo está cifrado y solo puede ser leído por un host en una infraestructura protegida de confianza para el arrendatario. Más información.

  5. Configuración del grupo host: para facilitar la administración, se recomienda colocar los hosts protegidos en un grupo host de VMM dedicado.

  6. Comprobación de los requisitos de VM existentes: si deseas convertir una VM existente en blindada, ten en cuenta lo siguiente:

    • La VM debe ser de generación 2 y tener habilitada la plantilla de arranque seguro de Microsoft Windows
    • El sistema operativo del disco debe ser uno de los siguientes:
    • Windows Server 2016, Windows Server 2012 R2, Windows Server 2012
    • Windows 10, Windows 8.1, Windows 8
    • El disco del sistema operativo de la VM debe usar la tabla de particiones GUID. Esto es necesario para que las VM de generación 2 admitan UEFI.
    • La VM debe ser de generación 2 y tener habilitada la plantilla de arranque seguro de Microsoft Windows
    • El sistema operativo del disco debe ser uno de los siguientes:
    • Windows Server 2016, Windows Server 2012 R2, Windows Server 2012
    • Windows 10
    • El disco del sistema operativo de la VM debe usar la tabla de particiones GUID. Esto es necesario para que las VM de generación 2 admitan UEFI.
    • La VM debe ser de generación 2 y tener habilitada la plantilla de arranque seguro de Microsoft Windows
    • El sistema operativo del disco debe ser uno de los siguientes:
      • Windows Server 2022, Windows Server 2019, Windows Server 2016
      • Windows 11, Windows 10
    • El disco del sistema operativo de la VM debe usar la tabla de particiones GUID. Esto es necesario para que las VM de generación 2 admitan UEFI.
    • La máquina virtual debe ser de generación 2 y tener habilitada la plantilla de arranque seguro de Microsoft Windows
    • El sistema operativo del disco debe ser uno de los siguientes:
      • Windows Server 2025, Windows Server 2022, Windows Server 2019
      • Windows 11, Windows 10
    • El disco del sistema operativo de la VM debe usar la tabla de particiones GUID. Esto es necesario para que las máquinas virtuales de generación 2 admitan UEFI.

  7. Configuración del VHD asistente: el proveedor de servicios de hospedaje deberá crear una VM que actúe como un VHD asistente para convertir las máquinas existentes. Más información.

Adición de archivos de datos de blindaje a VMM

Para poder convertir una VM existente en una VM blindada o aprovisionar una nueva VM blindada desde una plantilla, el propietario de la VM debe generar un archivo de datos de blindaje y agregarlo a VMM.

Si aún no tienes importado un archivo de datos de blindaje, completa los pasos siguientes:

  1. Crea un archivo de datos de blindaje si aún no tiene uno. Asegúrate de que el archivo de datos de blindaje autoriza al tejido de hospedaje que VMM administra para ejecutar tus VM blindadas.
  2. En la consola de VMM, selecciona Biblioteca>Importar datos de blindaje>Examinar y selecciona el archivo de datos de blindaje.
  3. Especifica un nombre descriptivo para el archivo de datos de blindaje en Nombre y, opcionalmente, agrega una descripción. Recomendamos que indiques en el nombre del archivo de datos de blindaje si está destinado para su uso con las VM existentes o nuevas, para facilitar su búsqueda posteriormente.
  4. Selecciona Importar para guardar los datos de blindaje en VMM.

Para administrar los archivos de datos de blindaje importados, ve a Biblioteca>Datos de blindaje de VM (en Perfiles).

Aprovisionar una nueva máquina virtual blindada.

  1. Antes de comenzar, asegúrate de que cumples estos requisitos previos:
  2. En VM y servicios, selecciona Crear máquina virtual para abrir el Asistente para crear máquinas virtuales.
  3. En Seleccionar origen, selecciona Usar una máquina virtual, una plantilla de VM o un disco duro virtual existentes>Examinar.
  4. Selecciona una plantilla de VM blindada o un disco de plantilla firmada. Ambos están identificados con el icono de escudo Imagen del icono de escudo en VMM..
  5. En Seleccionar archivo de datos de blindaje, selecciona Examinar y selecciona un archivo de datos de blindaje. Solo se mostrarán los archivos de datos de blindaje que se pueden usar para crear una nueva VM blindada. Selecciona Aceptar>Siguiente para continuar.
  6. Sigue estas instrucciones para completar el asistente e implementar la VM en un host o en la nube.

Cuando completes el asistente, VMM crea una nueva máquina virtual protegida a partir del disco o plantilla:

  1. El archivo de disco de plantilla (VHDX) se copia de la biblioteca VMM.
  2. El aprovisionamiento de VM descifra los datos del archivo de datos de blindaje, completa las cadenas de sustitución del archivo unattend.xml y copia archivos adicionales del archivo de datos de blindaje a la unidad del sistema operativo (por ejemplo, el certificado RDP).
  3. La VM se reinicia, se personaliza y se vuelve a cifrar con BitLocker. La clave de cifrado de volumen completo de BitLocker se almacena en el TPM virtual de la nueva VM.
  4. La personalización de la VM se completa cuando se ejecuta el comando shutdown en el archivo unattend.xml y la VM permanece desactivada. Si la personalización se queda bloqueada, comprueba el archivo unattend.xml ejecutándolo en una VM no blindada o mediante un archivo de datos de blindaje compatible con cifrado que permita el acceso a la consola.
  5. Una vez que VMM detecta que la especialización ha finalizado, actualizará su estado para indicar que se crea la VM y, si está seleccionada, inicia la VM.

Blindaje de una máquina virtual existente

Puedes habilitar la protección para una VM que se está ejecutando actualmente en un host de la infraestructura VMM que no está protegido.

  1. Antes de comenzar, asegúrate de que dispones de estos requisitos previos.
  2. Desconecta la VM.
  3. Se recomienda habilitar BitLocker en todos los discos conectados a la VM antes de moverla al host protegido.
  4. Selecciona la VM >Propiedades>Escudo y selecciona un archivo de datos de escudo.
  5. Apaga la VM, exporta desde el host no protegido e impórtala a un host protegido. Solo un host protegido puede acceder a los datos de la VM.

Pasos siguientes

Consulta Administración de la configuración de la máquina virtual para obtener información sobre cómo configurar la configuración de rendimiento y disponibilidad de las VM.