Aprowizuj maszyny wirtualne z osłoną w sieci szkieletowej programu VMM

W tym artykule opisano sposób wdrażania maszyn wirtualnych z osłoną w sieci szkieletowej obliczeniowej programu System Center Virtual Machine Manager (VMM).

Maszyny wirtualne z osłoną można wdrożyć w programie VMM na kilka sposobów:

• Przekonwertuj istniejącą maszynę wirtualną na maszynę wirtualną z osłoną.
• Utwórz nową maszynę wirtualną z osłoną przy użyciu podpisanego dysku twardego maszyny wirtualnej (VHDX) i opcjonalnie szablonu maszyny wirtualnej.

Uwaga

Mogą wystąpić problemy z wdrażaniem maszyny wirtualnej z osłoną za pośrednictwem sieci za pomocą modułu równoważenia obciążenia lub urządzenia optymalizacji sieci WAN. Do pomyślnego wdrożenia pakietu wymagane jest, aby pakiet nie był modyfikowany podczas przesyłania maszyn wirtualnych z osłoną.

Przed rozpoczęciem

Obejrzyj film wideo, który zawiera krótkie, dwuminutowe omówienie aprowizacji maszyn wirtualnych z osłoną w programie VMM. Następnie upewnij się, że wykonano następujące czynności:

1. Przygotowanie serwera HGS: powinien zostać wdrożony serwer HGS. Dowiedz się więcej.

2. Konfigurowanie programu VMM: należy skonfigurować globalne ustawienia usługi HGS w programie VMM i skonfigurować co najmniej jednego chronionego hosta. Jeśli chronione hosty należą do chmury, chmura powinna być włączona w celu obsługi chronionych maszyn wirtualnych. Dowiedz się więcej.

3. Przygotuj chroniony dysk VHDX i szablon maszyny wirtualnej: należy wdrożyć maszyny wirtualne z osłoną z chronionego wirtualnego dysku twardego (VHDX) i opcjonalnie przy użyciu szablonu maszyny wirtualnej. Dowiedz się więcej na temat przygotowywania tych informacji.

   Uwaga

   Nie można użyć szablonu usługi do utworzenia maszyny wirtualnej z osłoną. Zamiast tego użyj skryptu.

4. Przygotowywanie plików danych osłony: aby używać podpisanych dysków szablonu w bibliotece programu VMM, dzierżawcy muszą przygotować co najmniej jeden plik danych osłony. Ten plik zawiera wszystkie wpisy tajne, które dzierżawa musi wdrożyć maszynę wirtualną, w tym plik nienadzorowany używany do specjalizacji maszyny wirtualnej, certyfikatów i haseł kont administratora. Plik określa również, która chroniona sieć szkieletowa ufa dzierżawie w celu hostowania maszyny wirtualnej i informacji o podpisanych dyskach szablonu. Plik jest szyfrowany i może być odczytywany tylko przez hosta w chronionej sieci szkieletowej zaufanej przez dzierżawę. Dowiedz się więcej.

5. Skonfiguruj grupę hostów: aby ułatwić zarządzanie, zalecamy umieszczenie chronionych hostów w dedykowanej grupie hostów programu VMM.

6. Sprawdź istniejące wymagania dotyczące maszyny wirtualnej: Jeśli chcesz przekonwertować istniejącą maszynę wirtualną na chronioną, zwróć uwagę na następujące kwestie:

   • Maszyna wirtualna musi być generacji 2 i mieć włączony szablon Bezpiecznego rozruchu systemu Microsoft Windows
   • System operacyjny na dysku musi być jednym z następujących elementów:
     • Windows Server 2025, Windows Server 2022, Windows Server 2019
     • Windows 11, Windows 10
   • Dysk systemu operacyjnego dla maszyny wirtualnej musi używać tabeli partycji GUID. Jest to wymagane, aby maszyny wirtualne generacji 2 obsługiwały interfejs UEFI.

7. Konfigurowanie wirtualnego dysku twardego pomocnika: dostawca usług hostingu musi utworzyć maszynę wirtualną, która działa jako wirtualny dysk twardy pomocnika na potrzeby konwertowania istniejących maszyn. Dowiedz się więcej.

Dodawanie plików danych osłony do programu VMM

Aby można było przekonwertować istniejącą maszynę wirtualną na maszynę wirtualną z osłoną lub aprowizować nową maszynę wirtualną z osłoną na podstawie szablonu, właściciel maszyny wirtualnej musi wygenerować plik danych osłony i dodać go do programu VMM.

Jeśli nie masz jeszcze zaimportowanego pliku danych osłony, wykonaj następujące kroki:

1. Utwórz plik danych osłony, jeśli jeszcze go nie masz. Upewnij się, że plik danych osłony autoryzuje hostowanie sieci szkieletowej programu VMM do uruchamiania chronionych maszyn wirtualnych.
2. W konsoli programu VMM wybierz pozycję Biblioteka>Importuj dane>osłony Przeglądaj i wybierz plik danych osłony.
3. Określ przyjazną nazwę pliku danych osłony w polu Nazwa i opcjonalnie dodaj opis. Zalecamy wskazanie, czy plik danych osłony jest przeznaczony do użycia z istniejącymi lub nowymi maszynami wirtualnymi w jego nazwie, aby ułatwić ich ponowne znalezienie.
4. Wybierz pozycję Importuj , aby zapisać dane osłony w programie VMM.

Aby zarządzać zaimportowanymi plikami danych osłony, przejdź do pozycji Biblioteka>danych osłony maszyn wirtualnych (w obszarze Profile).

Aprowizuj nową maszynę wirtualną z osłoną

1. Przed rozpoczęciem upewnij się, że zostały spełnione wszystkie wymagania wstępne.
2. W obszarze Maszyny wirtualne i usługi wybierz pozycję Utwórz maszynę wirtualną, aby otworzyć Kreatora tworzenia maszyny wirtualnej.
3. W obszarze Wybierz źródło wybierz pozycję Użyj istniejącej maszyny wirtualnej, szablonu maszyny wirtualnej lub przeglądania wirtualnego dysku> twardego.
4. Wybierz szablon maszyny wirtualnej z osłoną lub podpisany dysk szablonu. Oba są identyfikowane przez ikonę tarczy .
5. W obszarze Wybieranie pliku danych osłony wybierz pozycję Przeglądaj i wybierz plik danych osłony. Zostaną wyświetlone tylko pliki danych osłony, których można użyć do utworzenia nowej maszyny wirtualnej z osłoną. Wybierz przycisk OK>Dalej, aby kontynuować.
6. Postępuj zgodnie z tymi instrukcjami , aby ukończyć pracę kreatora i wdrożyć maszynę wirtualną na hoście/w chmurze.

Po zakończeniu pracy kreatora program VMM tworzy nową maszynę wirtualną z osłoną na dysku lub szablonie:

1. Plik dysku szablonu (VHDX) jest kopiowany z biblioteki programu VMM.
2. Aprowizacja maszyny wirtualnej odszyfrowuje dane w pliku danych osłony, wykonuje wszystkie ciągi podstawienia w pliku unattend.xml i kopiuje dodatkowe pliki z pliku danych osłony na dysk systemu operacyjnego (na przykład certyfikat RDP).
3. Maszyna wirtualna jest ponownie uruchamiana, dostosowywana i ponownie szyfrowana za pomocą funkcji BitLocker. Klucz szyfrowania pełnego woluminu funkcji BitLocker jest przechowywany w wirtualnym module TPM nowej maszyny wirtualnej.
4. Dostosowywanie maszyny wirtualnej jest wykonywane po uruchomieniu polecenia zamykania w pliku unattend.xml; maszyna wirtualna pozostaje wyłączona. Jeśli dostosowywanie zostanie zablokowane, sprawdź plik unattend.xml, uruchamiając go na nieekranowanej maszynie wirtualnej lub używając pliku danych osłony obsługiwanego przez szyfrowanie, który umożliwia dostęp do konsoli.
5. Po wykryciu, że specjalizacja została zakończona, zaktualizuje stan maszyny wirtualnej, aby wskazać, że maszyna wirtualna została utworzona i, jeśli została wybrana, uruchom maszynę wirtualną.

Osłona istniejącej maszyny wirtualnej

Możesz włączyć osłonę dla maszyny wirtualnej uruchomionej obecnie na hoście w sieci szkieletowej programu VMM, która nie jest chroniona.

1. Przed rozpoczęciem upewnij się, że zostały spełnione wszystkie wymagania wstępne.
2. Przełącz maszynę wirtualną do trybu offline.
3. Zalecamy włączenie funkcji BitLocker na wszystkich dyskach dołączonych do maszyny wirtualnej przed przeniesieniem jej do chronionego hosta.
4. Wybierz osłonę właściwości> maszyny wirtualnej >i wybierz plik danych osłony.
5. Zamknij maszynę wirtualną, wyeksportuj z hosta niestrzeżonego i zaimportuj ją do chronionego hosta. Tylko chroniony host może uzyskiwać dostęp do danych maszyny wirtualnej.

Następne kroki

Zapoznaj się z artykułem Zarządzanie ustawieniami maszyn wirtualnych, aby dowiedzieć się, jak skonfigurować ustawienia wydajności i dostępności dla maszyn wirtualnych.