Effettuare il provisioning di host sorvegliati in VMM
Questo articolo descrive come distribuire host Hyper-V sorvegliati in un'infrastruttura di calcolo di System Center Virtual Machine Manager (VMM). Altre informazioni sull'infrastruttura sorvegliata.
Esistono due modi per configurare gli host Hyper-V sorvegliati in un'infrastruttura VMM.
- Configurare un host esistente come host sorvegliato: è possibile configurare un host esistente per l'esecuzione di macchine virtuali schermate.
- Aggiungere o effettuare il provisioning di un nuovo host sorvegliato: questo host può essere:
- Un computer Windows Server esistente (con o senza il ruolo Hyper-V)
- Un computer bare metal
Gli host sorvegliati vengono configurati nell'infrastruttura VMM come indicato di seguito:
Configurare le impostazioni HGS globali: VMM connette tutti gli host sorvegliati allo stesso server HGS (Host Guardian Service) in modo da poter eseguire correttamente la migrazione delle macchine virtuali schermate tra gli host. Specificare le impostazioni HGS globali applicabili a tutti gli host sorvegliati ed è possibile specificare le impostazioni specifiche dell'host che eseguono l'override delle impostazioni globali. Le impostazioni includono:
- URL di attestazione: URL usato dall'host per connettersi al servizio di attestazione HGS. Questo servizio autorizza un host a eseguire macchine virtuali schermate.
- URL del server di protezione delle chiavi: URL usato dall'host per recuperare la chiave necessaria per decrittografare le macchine virtuali. L'host deve passare l'attestazione per recuperare le chiavi.
- Criteri di integrità del codice: i criteri di integrità del codice limitano il software che può essere eseguito in un host sorvegliato. Quando HGS è configurato per l'uso dell'attestazione TPM, gli host sorvegliati devono essere configurati per l'uso di criteri di integrità del codice autorizzati dal server HGS. È possibile specificare il percorso dei criteri di integrità del codice in VMM e distribuirli negli host. Questa operazione è facoltativa e non è necessaria per gestire un'infrastruttura sorvegliata.
- VHD helper di schermatura vm: disco rigido virtuale appositamente preparato che viene usato per convertire le macchine virtuali esistenti in macchine virtuali schermate. È necessario configurare questa impostazione se si desidera proteggere le macchine virtuali esistenti.
Configurare il cloud: se l'host sorvegliato verrà incluso in un cloud VMM, è necessario abilitare il cloud per supportare le macchine virtuali schermate.
Prima di iniziare
Assicurarsi di aver distribuito e configurato il servizio Sorveglianza host prima di procedere. Altre informazioni sulla configurazione di HGS sono disponibili nella documentazione di Windows Server.
Assicurarsi inoltre che tutti gli host che diventeranno host sorvegliati soddisfino i prerequisiti dell'host sorvegliato:
- Sistema operativo: i server host devono eseguire Windows Server Datacenter. È consigliabile usare Server Core per gli host sorvegliati.
- Ruolo e funzionalità: i server host devono eseguire il ruolo Hyper-V e la funzionalità supporto hyper-V sorveglianza host. Il supporto hyper-V di Sorveglianza host consente all'host di comunicare con HGS per attestare l'integrità e richiedere le chiavi per le macchine virtuali schermate. Se l'host esegue Nano Server, deve avere installati i pacchetti Compute, SCVMM-Package, SCVMM-Compute, SecureStartup e ShieldedVM.
- Attestazione TPM: se HGS è configurato per l'uso dell'attestazione TPM, i server host devono:
- Usare UEFI 2.3.1c e un modulo TPM 2.0
- Avvio in modalità UEFI (non BIOS o modalità legacy )
- Abilitare l'avvio protetto
- Registrazione HGS: gli host Hyper-V devono essere registrati con HGS. La modalità di registrazione dipende dal fatto che HGS usi l'attestazione AD o TPM. Ulteriori informazioni
- Migrazione in tempo reale: se si vuole eseguire la migrazione in tempo reale di macchine virtuali schermate, è necessario distribuire due o più host sorvegliati.
- Dominio: gli host sorvegliati e il server VMM devono trovarsi nello stesso dominio o in domini con un trust bidirezionale.
Configurare le impostazioni HGS globali
Prima di poter aggiungere host sorvegliati all'infrastruttura di calcolo VMM, è necessario configurare VMM con informazioni su HGS per l'infrastruttura. Lo stesso HGS verrà usato per tutti gli host sorvegliati gestiti da VMM.
Ottenere gli URL di attestazione e protezione delle chiavi per l'infrastruttura dall'amministratore HGS.
Nella console VMM selezionare Impostazioni impostazioni>servizio sorveglianza host.
Immettere gli URL di attestazione e di protezione delle chiavi nei rispettivi campi. Al momento non è necessario configurare i criteri di integrità del codice e le sezioni VHD dell'helper di schermatura delle macchine virtuali.
Fare clic su Fine per salvare la configurazione.
Aggiungere o effettuare il provisioning di un nuovo host sorvegliato
- Aggiungere l'host:
- Se si vuole aggiungere un server esistente che esegue Windows Server come host Hyper-V sorvegliato, aggiungerlo all'infrastruttura.
- Se si vuole effettuare il provisioning di un host Hyper-V da un computer bare metal, seguire questi prerequisiti e istruzioni.
Nota
È possibile distribuire l'host come sorvegliato durante il provisioning (Aggiungi impostazioni>del sistema operativo della Procedura guidata >risorsa Configura come host sorvegliato).
- Passare alla sezione successiva per configurare l'host come host sorvegliato.
Configurare un host esistente come host sorvegliato
Per configurare un host Hyper-V esistente gestito da VMM come host sorvegliato, seguire questa procedura:
Posizionare l'host in modalità di manutenzione.
In Tutti gli host fare clic con il pulsante destro del mouse sul servizio Sorveglianza host proprietà>host.>
Selezionare questa opzione per abilitare la funzionalità supporto hyper-V sorveglianza host e configurare l'host.
Nota
- Gli URL globali del server di attestazione e protezione delle chiavi verranno impostati nell'host.
- Se si modificano questi URL all'esterno della console VMM, è necessario aggiornarli anche in VMM. In caso contrario, VMM non inserisce macchine virtuali schermate nell'host finché gli URL non corrispondono di nuovo. È anche possibile deselezionare e ricontrollare la casella Abilita per riconfigurare l'host con gli URL configurati in VMM.
Se si usa VMM per gestire i criteri di integrità del codice, è possibile abilitare la seconda casella di controllo e selezionare i criteri appropriati per il sistema.
Selezionare OK per aggiornare la configurazione dell'host.
Togliere l'host dalla modalità di manutenzione.
VMM verifica che l'host superi l'attestazione quando lo si aggiunge e ogni volta che lo stato dell'host viene aggiornato. VMM distribuisce ed esegue solo la migrazione di macchine virtuali schermate in host che hanno superato l'attestazione. È possibile controllare lo stato di attestazione di un host in Proprietà>Stato>HGS Client Overall.
Abilitare gli host sorvegliati in un cloud VMM
Abilitare un cloud per supportare gli host sorvegliati:
- Nella console VMM selezionare MACCHINE virtuali e servizi>cloud. Fare clic con il pulsante destro del mouse sul nome >del cloud Proprietà.
- In Supporto generale>delle macchine virtuali schermate selezionare Supportato in questo cloud privato.
Gestire e distribuire criteri di integrità del codice con VMM
Nelle infrastrutture sorvegliate configurate per l'uso dell'attestazione TPM, ogni host deve essere configurato con un criterio di integrità del codice considerato attendibile dal servizio Sorveglianza host. Per semplificare la gestione dei criteri di integrità del codice, è possibile usare VMM facoltativamente per distribuire criteri nuovi o aggiornati negli host sorvegliati.
Per distribuire un criterio di integrità del codice in un host sorvegliato gestito da VMM, seguire questa procedura:
- Creare un criterio di integrità del codice per ogni host di riferimento nell'ambiente. Sono necessari criteri di integrazione continua diversi per ogni configurazione hardware e software univoca degli host sorvegliati.
- Archiviare i criteri di integrazione continua in una condivisione file sicura. Gli account computer per ogni host sorvegliato richiedono l'accesso in lettura alla condivisione. Solo gli amministratori attendibili devono avere accesso in scrittura.
- Nella console VMM selezionare Impostazioni impostazioni>servizio sorveglianza host.
- Nella sezione Criteri di integrità del codice selezionare Aggiungi e specificare un nome descrittivo e il percorso di un criterio di integrazione continua. Ripetere questo passaggio per ogni criterio di integrazione continua univoco. Assicurarsi di assegnare un nome ai criteri in modo da identificare i criteri da applicare agli host.
- Fare clic su Fine per salvare la configurazione.
Ora, per ogni host sorvegliato, completare i passaggi seguenti per applicare un criterio di integrità del codice:
Posizionare l'host in modalità di manutenzione.
In Tutti gli host fare clic con il pulsante destro del mouse sul servizio Sorveglianza host proprietà>host.>
Selezionare questa opzione per configurare l'host con un criterio di integrità del codice. Selezionare quindi i criteri appropriati per il sistema.
Selezionare OK per applicare la modifica della configurazione. L'host può riavviare per applicare i nuovi criteri.
Portare l'host fuori dalla modalità di manutenzione.
Avviso
Assicurarsi di selezionare i criteri di integrità del codice corretti per l'host. Se all'host vengono applicati criteri incompatibili, alcune applicazioni, driver o componenti del sistema operativo potrebbero non funzionare più.
Se si aggiornano i criteri di integrità del codice nella condivisione file e si desidera aggiornare anche gli host sorvegliati, è possibile farlo completando i passaggi seguenti:
- Posizionare l'host in modalità di manutenzione.
- In Tutti gli host fare clic con il pulsante destro del mouse sull'host >Applica i criteri di integrità del codice più recenti.
- Portare l'host fuori dalla modalità di manutenzione.
Passaggi successivi
- Configurare un disco modello schermato, un disco dell'utilità e un modello di macchina virtuale.