Compartilhar via


Provisionar hosts protegidos no VMM

Este artigo descreve como implantar hosts Hyper-V protegidos em uma malha de computação do System Center Virtual Machine Manager (VMM). Saiba mais sobre a malha protegida.

Há algumas maneiras de configurar hosts Hyper-V protegidos em uma malha do VMM.

  • Configurar um host existente para ser um host protegido: você pode configurar um host existente para executar VMs blindadas.
  • Adicionar ou provisionar um novo host protegido: esse host pode ser:
    • Um computador Windows Server existente (com ou sem a função Hyper-V)
    • Um computador bare-metal

Você configura hosts protegidos na malha do VMM da seguinte maneira:

  1. Definir configurações globais do HGS: o VMM conecta todos os hosts protegidos ao mesmo servidor HGS (Serviço Guardião de Host) para que você possa migrar com êxito as VMs blindadas entre os hosts. Você especifica as configurações globais do HGS que se aplicam a todos os hosts protegidos e pode especificar as configurações específicas do host que substituem as configurações globais. As configurações incluem:

    • URL de atestado: a URL que o host usa para se conectar ao serviço de atestado HGS. Esse serviço autoriza um host a executar VMs blindadas.
    • URL do servidor de proteção de chaves: a URL que o host usa para recuperar a chave necessária para descriptografar VMs. O host deve passar o atestado para recuperar chaves.
    • Políticas de integridade de código: uma política de integridade de código restringe o software que pode ser executado em um host protegido. Quando o HGS é configurado para usar o atestado TPM, os hosts protegidos devem ser configurados para usar uma política de integridade de código autorizada pelo servidor HGS. Você pode especificar o local das políticas de integridade de código no VMM e implantá-las em seus hosts. Isso é opcional e não é necessário para gerenciar uma malha protegida.
    • VHD auxiliar de blindagem de VM: um disco rígido virtual especialmente preparado que é usado para converter as VMs existentes em VMs blindadas. Você deve definir essa configuração se quiser proteger as VMs existentes.
  2. Configurar a nuvem: se o host protegido for incluído em uma nuvem do VMM, você precisará habilitar a nuvem para dar suporte a VMs blindadas.

Antes de começar

Verifique se você implantou e configurou o Serviço Guardião de Host antes de continuar. Saiba mais sobre como configurar o HGS na documentação do Windows Server.

Além disso, certifique-se de que todos os hosts que se tornarão hosts protegidos atendam aos pré-requisitos do host protegido:

  • Sistema operacional: os servidores host devem executar o Windows Server Datacenter. É recomendável usar o Server Core para hosts protegidos.
  • Função e recursos: os servidores host devem estar executando a função Hyper-V e o recurso Suporte Hyper-V do Guardião de Host. O Suporte ao Hyper-V do Guardião de Host permite que o host se comunique com o HGS para atestar sua integridade e solicitar chaves para VMs blindadas. Se o host estiver executando o Nano Server, ele deverá ter os pacotes Compute, SCVMM-Package, SCVMM-Compute, SecureStartup e ShieldedVM instalados.
  • Atestado do TPM: se o HGS estiver configurado para usar o atestado do TPM, os servidores host devem:
    • Usar UEFI 2.3.1c e um módulo TPM 2.0
    • Inicialize no modo UEFI (não no modo BIOS ou legado )
    • Ativar inicialização segura
  • Registro do HGS: os hosts do Hyper-V devem ser registrados no HGS. A forma como eles são registrados depende se o HGS está usando o atestado AD ou TPM. Saiba mais
  • Migração ao vivo: se você quiser migrar VMs blindadas ao vivo, precisará implantar dois ou mais hosts protegidos.
  • Domínio: os hosts protegidos e o servidor VMM devem estar no mesmo domínio ou em domínios com uma relação de confiança bidirecional.

Definir configurações globais do HGS

Antes de adicionar hosts protegidos à malha de computação do VMM, você deve configurar o VMM com informações sobre o HGS para a malha. O mesmo HGS será usado para todos os hosts protegidos gerenciados pelo VMM.

  1. Obtenha as URLs de atestado e proteção de chave para sua malha do administrador do HGS.

  2. No console do VMM, selecione Configurações>Configurações do Serviço Guardião de Host.

  3. Insira as URLs de atestado e proteção de chave nos respectivos campos. Você não precisa configurar as políticas de integridade de código e as seções VHD do auxiliar de blindagem de VM no momento.

    Captura de tela da janela de configurações globais do HGS.

  4. Selecione Concluir para salvar a configuração.

Adicionar ou provisionar um novo host protegido

  1. Adicione o host:
    • Se você quiser adicionar um servidor existente que executa o Windows Server como um host Hyper-V protegido, adicione-o à malha.
    • Se você quiser provisionar um host Hyper-V de um computador bare-metal, siga estes pré-requisitos e instruções.

      Observação

      Você pode implantar o host como protegido ao provisioná-lo (Adicionar configurações>do sistema operacional do Assistente >de Recursos Configurar como host protegido).

  2. Continue para a próxima seção para configurar o host como um host protegido.

Configurar um host existente para ser um host protegido

Para configurar um host Hyper-V existente gerenciado pelo VMM para ser um host protegido, conclua as seguintes etapas:

  1. Coloque o host no modo de manutenção.

  2. Em Todos os Hosts, clique com o botão direito do mouse no host > >Propriedades>Serviço Guardião de Host.

    Captura de tela de Habilitar um host como um host protegido.

  3. Selecione para habilitar o recurso Suporte ao Hyper-V do Guardião de Host e configurar o host.

    Observação

    • As URLs do servidor de atestado global e proteção de chave serão definidas no host.
    • Se você modificar essas URLs fora do console do VMM, também precisará atualizá-las no VMM. Caso contrário, o VMM não colocará VMs blindadas no host até que as URLs correspondam novamente. Você também pode desmarcar e marcar novamente a caixa Habilitar para reconfigurar o host com as URLs configuradas no VMM.
  4. Se você estiver usando o VMM para gerenciar políticas de integridade de código, poderá habilitar a segunda caixa de seleção e selecionar a política apropriada para o sistema.

  5. Selecione OK para atualizar a configuração do host.

  6. Tire o host do modo de manutenção.

O VMM verifica se o host passa no atestado quando você o adiciona e sempre que o status do host é atualizado. O VMM implanta e migra apenas VMs blindadas em hosts que passaram no atestado. Você pode verificar o status do atestado de um host em Status>Geral do Cliente HGS de Propriedades.>

Habilitar hosts protegidos em uma nuvem do VMM

Habilite uma nuvem para dar suporte a hosts protegidos:

  1. No console do VMM, selecione VMs e Nuvens de Serviços>. Clique com o botão direito do mouse no nome da nuvem > >Propriedades.
  2. Em Suporte geral>a VM blindada, selecione Com suporte nesta nuvem privada.

Gerenciar e implantar políticas de integridade de código com o VMM

Em malhas protegidas configuradas para usar o atestado TPM, cada host deve ser configurado com uma política de integridade de código confiável para o Serviço Guardião de Host. Para facilitar o gerenciamento de políticas de integridade de código, você pode, opcionalmente, usar o VMM para implantar políticas novas ou atualizadas em seus hosts protegidos.

Para implantar uma política de integridade de código em um host protegido gerenciado pelo VMM, conclua as seguintes etapas:

  1. Crie uma política de integridade de código para cada host de referência em seu ambiente. Você precisa de uma política de CI diferente para cada configuração exclusiva de hardware e software de seus hosts protegidos.
  2. Armazene as políticas de CI em um compartilhamento de arquivos seguro. As contas de computador para cada host protegido exigem acesso de leitura ao compartilhamento. Somente administradores confiáveis devem ter acesso de gravação.
  3. No console do VMM, selecione Configurações>Configurações do Serviço Guardião de Host.
  4. Na seção Políticas de Integridade de Código, selecione Adicionar e especifique um nome amigável e o caminho para uma política de CI. Repita essa etapa para cada política de CI exclusiva. Certifique-se de nomear suas políticas de uma maneira que o ajude a identificar qual política deve ser aplicada a quais hosts. Captura de tela de Adicionar uma política de integridade de código.
  5. Selecione Concluir para salvar a configuração.

Agora, para cada host protegido, conclua as seguintes etapas para aplicar uma política de integridade de código:

  1. Coloque o host no modo de manutenção.

  2. Em Todos os Hosts, clique com o botão direito do mouse no host > >Propriedades>Serviço Guardião de Host.

    Captura de tela de Aplicar uma política de integridade de código.

  3. Selecione para ativar a opção de configurar o host com uma política de integridade de código. Em seguida, selecione a política apropriada para o sistema.

  4. Selecione OK para aplicar a alteração de configuração. O host pode reiniciar para aplicar a nova política.

  5. Tire o host do modo de manutenção.

Aviso

Certifique-se de selecionar a política de integridade de código correta para o host. Se uma política incompatível for aplicada ao host, alguns aplicativos, drivers ou componentes do sistema operacional podem não funcionar mais.

Se você atualizar a política de integridade de código no compartilhamento de arquivos e desejar atualizar também os hosts protegidos, poderá fazer isso concluindo as seguintes etapas:

  1. Coloque o host no modo de manutenção.
  2. Em Todos os Hosts, clique com o botão direito do mouse em Host >Aplicar política de integridade de código mais recente.
  3. Tire o host do modo de manutenção.

Próximas etapas