Delen via

Afgeschermde virtuele machines inrichten in de VMM-infrastructuur

  • Artikel

In dit artikel wordt beschreven hoe u afgeschermde virtuele machines implementeert in de Compute-infrastructuur van System Center Virtual Machine Manager (VMM).

U kunt afgeschermde VM's op verschillende manieren implementeren in VMM:

  • Converteer een bestaande VM naar een afgeschermde VM.
  • Maak een nieuwe afgeschermde VM met behulp van een ondertekende harde schijf voor virtuele machines (VHDX) en eventueel een VM-sjabloon.

Notitie

Mogelijk ondervindt u problemen met het implementeren van een afgeschermde virtuele machine via een netwerk met een load balancer of WAN-optimalisatieapparaat. Het is vereist dat het pakket niet wordt gewijzigd tijdens de overdracht voor afgeschermde VM's om te kunnen implementeren.

Voordat u begint

Bekijk een video met een kort overzicht van het inrichten van afgeschermde VM's in VMM. Controleer vervolgens of u het volgende hebt gedaan:

  1. een HGS-server voorbereiden: er moet een HGS-server zijn geïmplementeerd. Meer informatie.

  2. VMM-instellen: u moet globale HGS-instellingen configureren in VMM en ten minste één beveiligde host instellen. Als beveiligde hosts deel uitmaken van een cloud, moet de cloud worden ingeschakeld ter ondersteuning van afgeschermde VM's. Meer informatie.

  3. een afgeschermde VHDX- en VM-sjabloon voorbereiden: u moet afgeschermde VM's implementeren vanaf een afgeschermde virtuele harde schijf (VHDX) en eventueel een VM-sjabloon gebruiken. Meer informatie over het voorbereiden hiervan.

    Notitie

    U kunt geen servicesjabloon gebruiken om een afgeschermde VM te maken. Gebruik in plaats daarvan een script.

  4. Afschermingsgegevensbestanden voorbereiden: Om de ondertekende sjabloonschijven in de VMM-bibliotheek te gebruiken, moeten huurders een of meer afschermingsgegevensbestanden voorbereiden. Dit bestand bevat alle geheimen die een tenant nodig heeft om een virtuele machine te implementeren, inclusief het bestand zonder toezicht dat wordt gebruikt om de wachtwoorden van de VIRTUELE machine, certificaten en beheerdersaccounts te specialiseren. In het bestand wordt ook aangegeven welke beveiligde infrastructuur een tenant vertrouwt voor het hosten van hun VM en informatie over de ondertekende sjabloonschijven. Het bestand is versleuteld en kan alleen worden gelezen door een host in een beveiligde infrastructuur die wordt vertrouwd door de tenant. Meer informatie.

  5. hostgroep instellen: voor eenvoudig beheer raden we aan beveiligde hosts in een toegewezen VMM-hostgroep te plaatsen.

  6. Bestaande VM-vereisten controleren: Als u een bestaande virtuele machine wilt converteren naar een afgeschermde machine, houd dan het volgende in gedachten:

    • De VM moet generatie 2 zijn en de Microsoft Windows Secure Boot-sjabloon is ingeschakeld
    • Het besturingssysteem op de schijf moet een van de volgende zijn:
    • Windows Server 2016, Windows Server 2012 R2, Windows Server 2012
    • Windows 10, Windows 8.1, Windows 8
    • De besturingssysteemschijf voor de virtuele machine moet de GUID-partitietabel gebruiken. Dit is vereist voor VM's van de tweede generatie om UEFI te ondersteunen.
    • De VM moet generatie 2 zijn en de Microsoft Windows Secure Boot-sjabloon is ingeschakeld
    • Het besturingssysteem op de schijf moet een van de volgende zijn:
    • Windows Server 2016, Windows Server 2012 R2, Windows Server 2012
    • Windows 10
    • De besturingssysteemschijf voor de virtuele machine moet gebruikmaken van de GUID-partitietabel. Dit is vereist voor VM's van de tweede generatie om UEFI te ondersteunen.
    • De VM moet generatie 2 zijn en de Microsoft Windows Secure Boot-sjabloon is ingeschakeld
    • Het besturingssysteem op de schijf moet een van de volgende zijn:
      • Windows Server 2022, Windows Server 2019, Windows Server 2016
      • Windows 11, Windows 10
    • De besturingssysteemschijf voor de virtuele machine moet de GUID-partitietabel gebruiken. Dit is vereist voor VM's van de tweede generatie om UEFI te ondersteunen.
    • De VM moet generatie 2 zijn en de Microsoft Windows Secure Boot-sjabloon is ingeschakeld
    • Het besturingssysteem op de schijf moet een van de volgende zijn:
      • Windows Server 2025, Windows Server 2022, Windows Server 2019
      • Windows 11, Windows 10
    • De besturingssysteemschijf voor de virtuele machine moet de GUID-partitietabel gebruiken. Dit is vereist voor vm's van de tweede generatie ter ondersteuning van UEFI.

  7. VHD-helper instellen: de hostingserviceprovider moet een virtuele machine maken die fungeert als een helper-VHD voor het converteren van de bestaande machines. Meer informatie.

Afschermingsgegevensbestanden toevoegen aan VMM

Voordat u een bestaande VIRTUELE machine kunt converteren naar een afgeschermde VM of een nieuwe afgeschermde VM kunt inrichten op basis van een sjabloon, moet de eigenaar van de VIRTUELE machine een afschermingsgegevensbestand genereren en toevoegen aan VMM.

Als u nog geen afschermingsgegevensbestand hebt geïmporteerd, voert u de volgende stappen uit:

  1. Maak een afschermingsgegevensbestand als u er nog geen hebt. Zorg ervoor dat het gegevensbestand voor afscherming de hosting fabric VMM machtigt om uw afgeschermde VM's te beheren.
  2. Selecteer in de VMM-console Bibliotheek>Afschermingsgegevens importeren>Blader en selecteer het afschermingsgegevensbestand.
  3. Geef een beschrijvende naam op voor het afschermingsgegevensbestand in Naam en voeg eventueel een beschrijving toe. U wordt aangeraden aan te geven of het afschermingsgegevensbestand is bedoeld voor gebruik met de bestaande of nieuwe VM's in de naam, zodat u het gemakkelijker kunt terugvinden.
  4. Selecteer Importeren om de afschermingsgegevens op te slaan in VMM.

Als u uw geïmporteerde afschermingsgegevensbestanden wilt beheren, gaat u naar Bibliotheek>VM-afschermingsgegevens (onder Profielen).

Een nieuwe afgeschermde VM inrichten

  1. Zorg ervoor dat u aan alle vereisten voldoet voordat u begint.
  2. In VM's en servicesselecteer je Virtuele machine maken om de wizard Virtuele machine maken te openen.
  3. Selecteer in BronEen bestaande virtuele machine, VM-sjabloon of virtuele harde schijf gebruiken>Bladeren.
  4. Selecteer een afgeschermde VM-sjabloon of ondertekende sjabloonschijf. Beide worden geïdentificeerd door het schildpictogram Afbeelding van schildpictogram in VMM..
  5. Selecteer in Afschermingsgegevensbestand de optie Bladeren en kies een afschermingsgegevensbestand. Alleen afschermingsgegevensbestanden die kunnen worden gebruikt om een nieuwe afgeschermde VM te maken, worden weergegeven. Selecteer OK>Volgende om door te gaan.
  6. Volg deze instructies om de wizard te voltooien en de VIRTUELE machine te implementeren op een host/cloud.

Wanneer u de wizard voltooit, maakt VMM een nieuwe afgeschermde VM op basis van de schijf of sjabloon:

  1. Het sjabloonschijfbestand (VHDX) wordt gekopieerd uit de VMM-bibliotheek.
  2. Vm-inrichting ontsleutelt de gegevens in het afschermingsgegevensbestand, voltooit eventuele vervangingstekenreeksen in het unattend.xml-bestand en kopieert extra bestanden van het afschermingsgegevensbestand naar het besturingssysteemstation (bijvoorbeeld het RDP-certificaat).
  3. De VM wordt opnieuw opgestart, aangepast en opnieuw versleuteld met BitLocker. De BitLocker-sleutel voor volledige volumeversleuteling wordt opgeslagen in de virtuele TPM van de nieuwe VIRTUELE machine.
  4. VM-aanpassing is voltooid wanneer de opdracht afsluiten in het unattend.xml-bestand wordt uitgevoerd; de VIRTUELE machine blijft uitgeschakeld. Als de aanpassing vastloopt, controleert u het unattend.xml-bestand door het uit te voeren op een niet-afgeschermde VM of met behulp van een voor encryptie ondersteund afschermingsgegevensbestand dat toegang tot de console toestaat.
  5. Nadat VMM heeft gedetecteerd dat specialisatie is voltooid, wordt de status bijgewerkt om aan te geven dat de VIRTUELE machine is gemaakt en, indien geselecteerd, de VIRTUELE machine opstarten.

Een bestaande VM afschermen

U kunt afscherming inschakelen voor een VM die momenteel wordt uitgevoerd op een host in de VMM-infrastructuur die niet wordt beveiligd.

  1. Zorg ervoor dat u aan alle vereisten voldoet voordat u begint.
  2. Haal de virtuele machine offline.
  3. U wordt aangeraden BitLocker in te schakelen op alle schijven die zijn gekoppeld aan de virtuele machine voordat u deze verplaatst naar de beveiligde host.
  4. Selecteer de VM >Properties>Shield en selecteer een afschermingsgegevensbestand.
  5. Sluit de VIRTUELE machine af, exporteer deze van een niet-beveiligde host en importeer deze naar een beveiligde host. Alleen een beveiligde host heeft toegang tot de VM-gegevens.

Volgende stappen

Raadpleeg Instellingen voor virtuele machines beheren voor meer informatie over het configureren van prestatie- en beschikbaarheidsinstellingen voor VM's.