Criar arquivo de resposta do sistema operacional especialização
Na preparação para implantar VMs blindadas, talvez seja necessário criar um arquivo de resposta de especialização do sistema operacional. No Windows, isso é normalmente conhecido como o arquivo "unattend.xml". A função New-ShieldingDataAnswerFile do Windows PowerShell ajuda você a fazer isso. Depois você poderá usar o arquivo de resposta ao criar VMs blindadas de um modelo usando o System Center Virtual Machine Manager (ou qualquer outro controlador de malha).
Para obter as diretrizes gerais para arquivos autônomos para VMs blindadas, confira Criar um arquivo de resposta.
Baixar a função New-ShieldingDataAnswerFile
Você pode obter a função New-ShieldingDataAnswerFile na Galeria do PowerShell. Se o computador tiver conectividade com a Internet, você poderá instalá-lo pelo PowerShell com o seguinte comando:
Install-Module GuardedFabricTools -Repository PSGallery -MinimumVersion 1.0.0
A saída unattend.xml pode ser empacotada nos dados de blindagem, juntamente com artefatos adicionais, para que possa ser usada para criar VMs blindadas a partir de modelos.
As seções a seguir mostram como você pode usar os parâmetros de função para um arquivo unattend.xml que contém várias opções:
- Arquivo de resposta básico do Windows
- Arquivo de resposta do Windows com ingresso no domínio
- Arquivo de resposta do Windows com endereços IPv4 estáticos
- Arquivo de resposta do Windows com uma localidade personalizada
- Arquivo de resposta básico do Linux
Arquivo de resposta básico do Windows
Os comandos a seguir criam um arquivo de resposta do Windows que simplesmente define a senha da conta de administrador e o nome do host. Os adaptadores de rede da VM usarão DHCP para obter endereços IP e a VM não será conectada a um domínio do Active Directory. Quando solicitado a inserir uma credencial de administrador, especifique o nome de usuário e a senha desejados. Use "Administrador" para o nome de usuário se desejar configurar a conta de administrador interno.
$adminCred = Get-Credential -Message "Local administrator account"
New-ShieldingDataAnswerFile -Path '.\ShieldedVMAnswerFile.xml' -AdminCredentials $adminCred
Arquivo de resposta do Windows com ingresso no domínio
Os comandos a seguir criam um arquivo de resposta do Windows que conecta a VM blindada a um domínio do Active Directory. Os adaptadores de rede de VMs usarão DHCP para obter endereços IP.
A primeira solicitação de credenciais pedirá as informações da conta de administrador local. Use "Administrador" para o nome de usuário se desejar configurar a conta de administrador interno.
A segunda solicitação de credenciais pedirá as credenciais que tenham o direito de conectar o computador ao domínio do Active Directory.
Certifique-se de alterar o valor do parâmetro "-DomainName" para o FQDN do seu domínio do Active Directory.
$adminCred = Get-Credential -Message "Local administrator account"
$domainCred = Get-Credential -Message "Domain join credentials"
New-ShieldingDataAnswerFile -Path '.\ShieldedVMAnswerFile.xml' -AdminCredentials $adminCred -DomainName 'my.contoso.com' -DomainJoinCredentials $domainCred
Arquivo de resposta do Windows com endereços IPv4 estáticos
Os comandos a seguir criam um arquivo de resposta do Windows que usa endereços IP estáticos fornecidos no momento da implantação pelo gerenciador de malha, como o System Center Virtual Machine Manager.
O Virtual Machine Manager fornece três componentes para o endereço IP estático usando um pool IP: endereço IPv4, endereço IPv6, endereço de gateway e endereço DNS. Se você quiser que outros campos sejam incluídos ou exijam uma configuração de rede personalizada, será necessário editar manualmente o arquivo de resposta produzido pelo script.
As capturas de tela a seguir mostram os pools IP que você pode configurar no Virtual Machine Manager. Esses pools são necessários se você quiser usar IP estático.
Atualmente, a função dá suporte a apenas um servidor DNS. Veja como seria a aparência das configurações de DNS:
Veja aqui como seria seu resumo para criar o pool de endereços IP estáticos. Em suma, você deve ter apenas uma rota de rede, um gateway e um servidor DNS, além de precisar especificar seu endereço IP.
É necessário configurar o adaptador de rede para a máquina virtual. A captura de tela a seguir mostra onde definir essa configuração e como alterná-la para IP estático.
Em seguida, você pode usar o parâmetro -StaticIPPool para incluir os elementos IP estáticos no arquivo de resposta. Os parâmetros @IPAddr-1@, @NextHop-1-1@ e @DNSAddr-1-1@ no arquivo de resposta serão substituídos pelos valores reais especificados no Virtual Machine Manager no momento da implantação.
$adminCred = Get-Credential -Message "Local administrator account"
New-ShieldingDataAnswerFile -Path '.\ShieldedVMAnswerFile.xml' -AdminCredentials $adminCred -StaticIPPool IPv4Address
Arquivo de resposta do Windows com uma localidade personalizada
Os comandos a seguir criam um arquivo de resposta do Windows com uma localidade personalizada.
Quando solicitado a inserir uma credencial de administrador, especifique o nome de usuário e a senha desejados. Use "Administrador" para o nome de usuário se desejar configurar a conta de administrador interno.
$adminCred = Get-Credential -Message "Local administrator account"
$domainCred = Get-Credential -Message "Domain join credentials"
New-ShieldingDataAnswerFile -Path '.\ShieldedVMAnswerFile.xml' -AdminCredentials $adminCred -Locale es-ES
Arquivo de resposta básico do Linux
A partir do Windows Server versão 1709, é possível executar determinados sistemas operacionais convidados do Linux em VMs blindadas. Se você estiver usando o agente Linux do System Center Virtual Machine Manager para especializar essas VMs, o cmdlet New-ShieldingDataAnswerFile poderá criar arquivos de resposta compatíveis para ele.
Em um arquivo de resposta do Linux, normalmente você incluirá a senha raiz, a chave SSH raiz e, opcionalmente, as informações do pool IP estático. Substitua o caminho para a metade pública da chave SSH antes de executar o script abaixo.
$rootPassword = Read-Host -Prompt "Root password" -AsSecureString
New-ShieldingDataAnswerFile -Path '.\ShieldedVMAnswerFile.xml' -RootPassword $rootPassword -RootSshKey '~\.ssh\id_rsa.pub'