Configurar um disco e um modelo de VM para implantar VMs blindadas

Você implanta máquinas virtuais blindadas na malha de computação do System Center Virtual Machine Manager (VMM) usando um disco rígido de máquina virtual (VHDX) assinado e, opcionalmente, com um modelo de VM. Este artigo descreve como adicionar discos de modelo assinados ao VMM, configurar um disco utilitário de blindagem, implantar novas VMs blindadas e converter as VMs existentes em VMs blindadas no VMM.

Antes de começar

• O disco de modelo assinado usado para criar o modelo de VM blindado deve ter a família e a versão marcadas.
• A biblioteca do VMM à qual você adiciona o disco de modelo assinado deve estar acessível às nuvens das quais as VMs blindadas serão provisionadas.
• A biblioteca compartilhada deve ser adicionada às nuvens das quais as VMs blindadas serão provisionadas (não no modo somente leitura).

Adicionar discos de modelo assinados para VMs blindadas à biblioteca do VMM

As VMs blindadas podem ser implantadas de duas maneiras: implantando diretamente de um disco de modelo assinado ou convertendo uma VM existente em uma VM blindada.

Os discos de modelo assinados garantem aos locatários que o conteúdo do disco não foi modificado e permitem que os locatários transfiram segredos de implantação com segurança, como senhas de administrador e certificados, para a VM de maneira criptografada. Por esse motivo, é preferível implantar VMs blindadas a partir de discos de modelo assinados.

Para preparar e adicionar um disco de modelo assinado à biblioteca do VMM, conclua as seguintes etapas:

1. Preparar um disco de modelo assinado numa máquina que executa o Windows Server 2025 ou 2022 ou 2019 com a Experiência de Ambiente de Trabalho, ou o Windows 10 ou o Windows 11 com as Ferramentas de Administração Remota do Servidor instaladas.

2. Copie o disco de modelo para um compartilhamento de biblioteca (\\<vmmserver>\MSSCVMMLibrary\VHDs por padrão) e atualize o servidor de biblioteca.

3. Para fornecer ao VMM informações sobre o sistema operativo no disco de modelo, no Biblioteca, clique com o botão direito do rato no disco >Propriedades.

4. Em do sistema operacional , selecione o sistema operacional instalado no disco. Isso indica ao VMM que o VHDX não está em branco. O ícone de escudo ao lado do nome do disco o indica como um disco de modelo assinado para VMs blindadas. Forneça as informações sobre o da Família e Release do disco, bem como para disponibilizar os recursos no portal de autoatendimento do Azure Pack do locatário (opcional).

   

5. Selecione OK para salvar as propriedades do disco de modelo assinado.

Criar um modelo de VM blindado

Opcionalmente, você pode criar um modelo de VM blindado usando um disco de modelo assinado. Os modelos de VM definem recursos de máquina virtual, como contagem de CPU, RAM e rede para um disco de sistema operacional.

Os modelos para VMs blindadas variam ligeiramente de um modelo de VM normal. Algumas configurações são fixas; por exemplo, a VM deve ser uma VM de Geração 2 com a Inicialização Segura habilitada. Crie o modelo de VM da seguinte maneira:

1. Selecione Biblioteca>Criar Modelo de VM. Em Selecionar Fonte, selecione Usar um modelo de VM existente ou um disco rígido virtual armazenado na biblioteca >eProcurar.
2. Selecione o disco de modelo assinado, especifique um nome de modelo e uma descrição opcional e selecione OK.
3. Em Configurar Hardware, especifique as propriedades de hardware para as VMs criadas a partir do modelo. Verifique se há pelo menos uma NIC configurada e disponível. Os inquilinos conectam-se a VMs blindadas através da Ligação à Área de Trabalho Remota, Gestão Remota do Windows ou outras ferramentas de gestão remota que requerem ligação de rede.
4. Se você quiser usar o endereçamento IP estático no pool de locatários, precisará informar seus locatários. Os locatários precisam fornecer um arquivo de resposta com valores, que especializa uma VM blindada para eles. Há valores de espaço reservado especiais e bem conhecidos necessários para dar suporte a pools de IP estáticos.
5. Em Configurar o sistema operacional, especifique a versão do sistema operacional, o nome do computador, a chave do produto e o fuso horário. O locatário fornece informações seguras, como a senha de administrador em um arquivo de dados de blindagem (. PDK), que eles fornecerão ao provisionar uma nova VM. Se especificar uma chave do produto, verifique se ela é válida para o sistema operativo no disco modelo. Se não estiver, a VM não será provisionada com êxito. Depois que o modelo de VM for criado, verifique se ele está disponível para a função de usuário Administrador de Locatários. Os locatários podem usá-lo para provisionar novas VMs.

Configurar o VHD auxiliar de blindagem

As VMs existentes do Windows também podem ser convertidas em VMs blindadas com o uso de um VHD auxiliar de blindagem. O VHD auxiliar é um disco especial preparado com ferramentas para criptografar a unidade do sistema operacional de outra VM. O VMM deve ser configurado com um VHD auxiliar antes que você possa proteger as VMs existentes.

1. Preparar um VHD auxiliar num computador que esteja a executar o Windows Server 2019 ou posterior ou o Windows 10/11 com as Ferramentas de Administração de Servidores Remotos instaladas.

1. Copie o VHD auxiliar para um compartilhamento de biblioteca e atualize o servidor de biblioteca.
2. No console do VMM, selecione Configurações>Host Guardian Service.
3. Na secção Shielding Helper VHD, selecione Procurar e escolha o VHD auxiliar na lista de arquivos na biblioteca partilhada.
4. Selecione Concluir para salvar a configuração.

Com o VHD auxiliar de proteção configurado, pode prosseguir para proteger uma VM existente.

Próximos passos

Reveja Provisionar VMs blindadas para compreender como implementar máquinas virtuais blindadas numa malha de computação do VMM.