Развертывание экранированных виртуальных машин в инфраструктуре VMM
В этой статье описывается, как развернуть экранированные виртуальные машины в вычислительной ткани диспетчера виртуальных машин (VMM) System Center.
Экранированные виртуальные машины можно развернуть в VMM несколькими способами:
- Преобразуйте существующую виртуальную машину в экранированную виртуальную машину.
- Создайте экранированную виртуальную машину с помощью подписанного жесткого диска виртуальной машины (VHDX) и при необходимости шаблона виртуальной машины.
Примечание.
Вы можете столкнуться с проблемами при развертывании экранированных виртуальных машин через сеть с помощью подсистемы балансировки нагрузки или устройства оптимизации глобальной сети. Для успешного развертывания экранированных виртуальных машин требуется, чтобы пакет данных не изменялся во время передачи.
Перед началом работы
Посмотрите видео, которое предоставляет краткий, двухминутный обзор подготовки экранированных ВМ в VMM. Затем убедитесь, что вы сделали следующее:
Подготовьте сервер HGS: У вас должен быть развернут сервер HGS. Подробнее.
Настройка VMM: необходимо настроить глобальные параметры HGS в VMM и настроить по крайней мере один защищенный узел. Если защищенные узлы принадлежат к облаку, облако должно быть включено для поддержки экранированных виртуальных машин. Подробнее.
Подготовьте экранированный виртуальный жесткий диск и шаблон виртуальной машины: следует развернуть экранированные виртуальные машины с экранированного виртуального жесткого диска (VHDX) и при необходимости использовать шаблон виртуальной машины. Узнайте больше о подготовке этих материалов.
Примечание.
Для создания экранированной виртуальной машины нельзя использовать шаблон службы. Вместо этого используйте скрипт.
Подготовка файлов данных экранирования: Чтобы использовать подписанные диски шаблонов в библиотеке VMM, клиенты должны подготовить один или несколько файлов данных экранирования. Этот файл содержит все секреты, необходимые клиенту для развертывания виртуальной машины, включая автоматический файл, используемый для специализации виртуальной машины, сертификатов и паролей учетной записи администратора. Файл также указывает, какому защищённому окружению доверяет арендатор для размещения своей виртуальной машины, а также содержит сведения о подписанных дисках шаблона. Файл шифруется и может читаться только узлом в защищенной структуре, доверенной клиентом. Подробнее.
Настройка группы узлов. Для простого управления рекомендуется поместить защищенные узлы в выделенную группу узлов VMM.
Проверьте существующие требования к виртуальной машине: если вы хотите преобразовать существующую виртуальную машину в экранированную, обратите внимание на следующее:
- Виртуальная машина должна быть 2-го поколения и с включенным шаблоном безопасной загрузки Microsoft Windows.
- Операционная система на диске должна быть одной из следующих:
- Windows Server 2016, Windows Server 2012 R2 и Windows Server 2012
- Windows 10, Windows 8.1, Windows 8
- Диск ОС для виртуальной машины должен использовать таблицу секций GUID. Это необходимо для виртуальных машин поколения 2 для поддержки UEFI.
- Виртуальная машина должна быть поколение 2, и шаблон безопасной загрузки Microsoft Windows должен быть включен.
- Операционная система на диске должна быть одной из следующих:
- Windows Server 2016, Windows Server 2012 R2 и Windows Server 2012
- Windows 10
- Диск ОС для виртуальной машины должен использовать таблицу секций GUID. Это необходимо для виртуальных машин поколения 2 для поддержки UEFI.
- Виртуальная машина должна быть 2-го поколения и включен шаблон для безопасной загрузки Microsoft Windows.
- Операционная система на диске должна быть одной из следующих:
- Windows Server 2022, Windows Server 2019, Windows Server 2016
- Windows 11, Windows 10
- Диск ОС для виртуальной машины должен использовать таблицу секций GUID. Это необходимо для виртуальных машин поколения 2 для поддержки UEFI.
- Виртуальная машина должна быть поколения 2 и иметь включённый шаблон безопасной загрузки Microsoft Windows.
- Операционная система на диске должна быть одной из следующих:
- Windows Server 2025, Windows Server 2022, Windows Server 2019
- Windows 11, Windows 10
- Диск ОС для виртуальной машины должен использовать таблицу секций GUID. Это необходимо для виртуальных машин поколения 2 для поддержки UEFI.
Настройка вспомогательного виртуального жесткого диска: поставщик услуг размещения должен создать виртуальную машину, которая выступает в качестве вспомогательного виртуального жесткого диска для преобразования существующих компьютеров. Подробнее.
Добавление файлов данных экранирования в VMM
Прежде чем преобразовать существующую виртуальную машину в экранированную виртуальную машину или подготовить новую экранированную виртуальную машину из шаблона, владелец виртуальной машины должен создать файл данных экранирования и добавить его в VMM.
Если у вас еще нет импортированного файла данных экранирования, выполните следующие действия.
- Создайте файл данных экранирования, если у вас его еще нет. Убедитесь, что файл данных экранирования авторизует VMM хост-фабрики управлять запуском ваших экранированных виртуальных машин.
- В консоли VMM выберите Библиотека>Импорт данных экранирования>Обзор и выберите файл данных экранирования.
- Укажите понятное имя для файла данных экранирования в имени и при необходимости добавьте описание. Рекомендуется указать, предназначен ли экранированный файл данных для использования с существующими или новыми виртуальными машинами в его имени, чтобы упростить поиск снова.
- Выберите "Импорт" , чтобы сохранить данные экранирования в VMM.
Чтобы управлять импортированными файлами данных экранирования, перейдите в раздел Библиотека>Данные экранирования ВМ (в разделе Профили).
Создайте новую экранированную виртуальную машину
- Перед началом работы убедитесь, что у вас есть все предпосылки.
- В виртуальных машинах и службах выберите "Создать виртуальную машину ", чтобы открыть мастер создания виртуальных машин.
- В разделе "Выбор источника" выберите "Использовать существующую виртуальную машину, шаблон ВМ или виртуальный жесткий диск">Обзор.
- Выберите экранированный шаблон виртуальной машины или подписанный диск шаблона. Оба идентифицируются значком щита
.
- В разделе "Выбор файла данных экранирования" выберите "Обзор" и выберите файл данных экранирования. Отображаются только экранированные файлы данных, которые можно использовать для создания экранированных виртуальных машин. Нажмите "ОК">"Далее", чтобы продолжить.
- Следуйте этим инструкциям , чтобы завершить работу мастера и развернуть виртуальную машину в узле или облаке.
Когда вы завершаете мастер, VMM создает новую экранированную виртуальную машину из диска или шаблона.
- Файл диска шаблона (VHDX) копируется из библиотеки VMM.
- Подготовка виртуальной машины расшифровывает данные в файле защиты данных, заполняет все строки подстановки в файле unattend.xml и копирует дополнительные файлы из файла защиты данных на диск операционной системы (например, сертификат RDP).
- Виртуальная машина перезапускается, настраивается и повторно шифруется с помощью BitLocker. Полный ключ шифрования тома BitLocker хранится в виртуальном TPM новой виртуальной машины.
- Настройка виртуальной машины завершается при выполнении команды завершения работы в файле unattend.xml; Виртуальная машина остается отключенной. Если настройка зависает, проверьте файл unattend.xml, запустив его на незащищенной виртуальной машине или используя файл данных, поддерживаемый шифрованием, который разрешает доступ к консоли.
- После того как VMM обнаружит, что специализация завершена, он обновит её состояние, чтобы указать, что виртуальная машина создана, и, если выбрано, запустит виртуальную машину.
Экранирование существующей виртуальной машины
Вы можете включить экранирование виртуальной машины, работающей на узле в инфраструктуре VMM, который не охраняемый.
- Перед началом работы убедитесь, что у вас есть все необходимые условия.
- Отключите виртуальную машину в автономном режиме.
- Перед перемещением на защищенный узел рекомендуется включить BitLocker на всех дисках, подключенных к виртуальной машине.
- Выберите экран свойств виртуальной машины и выберите файл данных для защиты.
- Завершите работу виртуальной машины, экспортируйте его из незащищенного узла и импортируйте его в защищенный узел. Доступ к данным виртуальной машины может получить только охраняемый узел.
Следующие шаги
Ознакомьтесь с разделом "Управление параметрами виртуальной машины", чтобы узнать, как настроить параметры производительности и доступности для виртуальных машин.