Dela via

Skapa en Linux-skärmad malldisk för virtuella datorer

Det här avsnittet beskriver hur du förbereder en malldisk för Linux-avskärmade virtuella datorer som kan användas för att instansiera en eller flera virtuella klientdatorer.

Förutsättningar

För att förbereda och testa en Linux-avskärmad virtuell dator behöver du följande tillgängliga resurser:

  • En server med virtualiseringsfunktioner som kör Windows Server, version 1709 eller senare
  • En andra dator (Windows 10 eller Windows Server 2016) som kan köra Hyper-V Manager för att ansluta till den virtuella datorn som körs
  • En ISO-avbildning för en av de Linux-skärmade VM-operativsystem som stöds:
    • Ubuntu 16.04 LTS med 4.4-kerneln
    • Red Hat Enterprise Linux 7.3
    • SUSE Linux Enterprise Server 12 Service Pack 2
  • Internetåtkomst för att ladda ned lsvmtools-paketet och OS-uppdateringar

Viktigt!

Nyare versioner av de föregående Linux-operativsystemen kan innehålla ett känt TPM-drivrutinsfel som förhindrar att de etableras som avskärmade virtuella datorer. Vi rekommenderar inte att du uppdaterar dina mallar eller avskärmade virtuella datorer till en nyare version tills en korrigering är tillgänglig. Listan över operativsystem som stöds ovan uppdateras när uppdateringarna offentliggörs.

Förbereda en virtuell Linux-dator

Avskärmade virtuella datorer skapas från säkra malldiskar. Malldiskar innehåller operativsystemet för den virtuella datorn och metadata, inklusive en digital signatur för partitionerna /boot och /root, för att säkerställa att viktiga OS-komponenter inte ändras före distributionen.

Om du vill skapa en malldisk måste du först skapa en vanlig (oskärmad) virtuell dator som du förbereder som basavbildning för framtida avskärmade virtuella datorer. Den programvara som du installerar och konfigurationsändringar som du gör på den här virtuella datorn gäller för alla avskärmade virtuella datorer som skapats från den här malldisken. De här stegen vägleder dig genom minimikraven för att förbereda en virtuell Linux-dator för templatisering.

Anmärkning

Linux-diskkryptering konfigureras när disken partitioneras. Det innebär att du måste skapa en ny virtuell dator som är förkrypterad med dm-crypt för att skapa en Linux-skärmad vm-malldisk.

  1. På virtualiseringsservern kontrollerar du att Hyper-V- och Host Guardian-funktionerna Hyper-V Support installeras genom att köra följande kommandon i en upphöjd PowerShell-konsol:

    Install-WindowsFeature Hyper-V, HostGuardian -IncludeManagementTools -Restart

  2. Ladda ned ISO-avbildningen från en tillförlitlig källa och lagra den på virtualiseringsservern eller på en filresurs som är tillgänglig för din virtualiseringsserver.

  3. På hanteringsdatorn som kör Windows Server version 1709 installerar du verktygen för fjärrserveradministration för avskärmad virtuell dator genom att köra följande kommando:

    Install-WindowsFeature RSAT-Shielded-VM-Tools

  4. Öppna Hyper-V Manager på hanteringsdatorn och anslut till virtualiseringsservern. Du kan göra detta genom att klicka på "Anslut till server..." i fönstret Åtgärder eller genom att högerklicka på Hyper-V Hanteraren och välja "Anslut till server..." Ange DNS-namnet för din Hyper-V-server och, om det behövs, de autentiseringsuppgifter som krävs för att ansluta till den.

  5. Med hjälp av Hyper-V Manager konfigurerar du en extern växel på virtualiseringsservern så att den virtuella Linux-datorn kan komma åt Internet för att hämta uppdateringar.

  6. Skapa sedan en ny virtuell dator för att installera Linux-operativsystemet på. I fönstret Åtgärder klickar du på Ny>virtuell dator för att ta upp guiden. Ange ett eget namn för den virtuella datorn, till exempel "Pre-templatized Linux" och klicka på Nästa.

  7. På den andra sidan i guiden väljer du Generation 2 för att säkerställa att den virtuella datorn etableras med en UEFI-baserad profil för inbyggd programvara.

  8. Slutför resten av installationguiden enligt dina inställningar. Använd inte en differentieringsdisk för den här virtuella datorn. avskärmade VM-malldiskar kan inte använda differentieringsdiskar. Slutligen ansluter du ISO-avbildningen som du laddade ned tidigare till den virtuella DVD-enheten för den här virtuella datorn så att du kan installera operativsystemet.

  9. I Hyper-V Manager väljer du den nyligen skapade virtuella datorn och klickar på Anslut... i fönstret Åtgärder för att ansluta till en virtuell konsol för den virtuella datorn. I fönstret som visas klickar du på Start för att aktivera den virtuella datorn.

  10. Fortsätt med konfigurationsprocessen för din valda Linux-distribution. Även om varje Linux-distribution använder en annan installationsguide måste följande krav uppfyllas för virtuella datorer som blir Linux-avskärmade malldiskar för virtuella datorer:

    • Disken måste partitioneras med hjälp av GPT-layouten (GUID Partitioning Table)
    • Rotpartitionen måste krypteras med dm-crypt. Lösenfrasen ska vara inställd på lösenfras (alla gemener). Lösenfrasen randomiseras och partitionen krypteras igen när en avskärmad virtuell dator etableras.
    • Startpartitionen måste använda ext2-filsystemet

  11. När linux-operativsystemet har startats helt och du har loggat in rekommenderar vi att du installerar den virtuella linux-kerneln och tillhörande paket för Hyper-V integrationstjänster. Dessutom vill du installera en SSH-server eller ett annat fjärrhanteringsverktyg för att komma åt den virtuella datorn när den är avskärmad.

    På Ubuntu kör du följande kommando för att installera dessa komponenter:

    sudo apt-get install linux-virtual linux-tools-virtual linux-cloud-tools-virtual linux-image-extra-virtual openssh-server

    Kör följande kommando i stället på RHEL:

    sudo yum install hyperv-daemons openssh-server
sudo service sshd start

    Kör följande kommando på SLES:

    sudo zypper install hyper-v
sudo chkconfig hv_kvp_daemon on
sudo systemctl enable sshd

  12. Konfigurera ditt Linux-operativsystem efter behov. Alla program som du installerar, användarkonton som du lägger till och systemomfattande konfigurationsändringar som du gör gäller för alla framtida virtuella datorer som skapats från den här malldisken. Du bör undvika att spara hemligheter eller onödiga paket på disken.

  13. Om du planerar att använda System Center Virtual Machine Manager för att distribuera dina virtuella datorer installerar du VMM-gästagenten så att VMM kan specialisera operativsystemet under etableringen av virtuella datorer. Med specialisering kan varje virtuell dator konfigureras på ett säkert sätt med olika användare och SSH-nycklar, nätverkskonfigurationer och anpassade konfigurationssteg. Lär dig hur du hämtar och installerar VMM-gästagenten i VMM-dokumentationen.

  14. Lägg sedan till Microsoft Linux Software Repository i pakethanteraren.

  15. Använd din pakethanterare för att installera lsvmtools-paketet, som innehåller shimme för Linux-skyddade VM-startladdare, etableringskomponenter, och verktyg för diskförberedelse.

    # Ubuntu 16.04
sudo apt-get install lsvmtools

# SLES 12 SP2
sudo zypper install lsvmtools

# RHEL 7.3
sudo yum install lsvmtools

  16. När du är klar med att anpassa Linux-operativsystemet letar du upp installationsprogrammet lsvmprep i systemet och kör det.

    # The path below may change based on the version of lsvmprep installed
# Run "find /opt -name lsvmprep" to locate the lsvmprep executable
sudo /opt/lsvmtools-1.0.0-x86-64/lsvmprep

  17. Stäng av den virtuella datorn.

  18. Om du har tagit kontrollpunkter för den virtuella datorn (inklusive automatiska kontrollpunkter som skapats av Hyper-V med Windows 10 Fall Creators Update) måste du ta bort dem innan du fortsätter. Kontrollpunkter skapar differentieringsdiskar (.avhdx) som inte stöds av guiden Malldisk.

    Om du vill ta bort kontrollpunkter öppnar duHyper-V Manager, väljer den virtuella datorn, högerklickar på den översta kontrollpunkten i fönstret Kontrollpunkter och klickar sedan på Ta bort kontrollpunktsunderträd.

    Ta bort alla kontrollpunkter för den virtuella malldatorn i Hyper-V hanteraren

Skydda malldisken

Den virtuella dator som du förberedde i föregående avsnitt är nästan redo att användas som en Linux-avskärmad malldisk för virtuella datorer. Det sista steget är att köra disken via guiden malldisk, vilken hashar och digitalt signerar den aktuella statusen av rot- och startpartitionerna. Hashen och den digitala signaturen verifieras när en avskärmad virtuell dator etableras för att säkerställa att inga obehöriga ändringar har gjorts i de två partitionerna mellan skapande och distribution av mallar.

Skaffa ett certifikat för att signera disken

För att kunna signera diskmätningarna digitalt måste du skaffa ett certifikat på den dator där du ska köra Guiden för mallskiva. Certifikatet måste uppfylla följande krav:

Certifikategenskap Obligatoriskt värde
Nyckelalgoritm RSA
Minsta nyckelstorlek 2 048 bitar
Signeringsalgoritm SHA256 (rekommenderas)
Nyckelanvändning Digital signatur

Information om det här certifikatet visas för hyresgäster när de skapar sina avskärmningsdatafiler och auktoriserar pålitliga diskar. Därför är det viktigt att hämta det här certifikatet från en certifikatutfärdare som är ömsesidigt betrodd av dig och dina klienter. I företagsscenarier där du både är värd och klient kan du överväga att utfärda det här certifikatet från företagets certifikatutfärdare. Skydda det här certifikatet noggrant eftersom alla som har det här certifikatet kan skapa nya malldiskar som är betrodda på samma sätt som din autentiska disk.

I en testlabbmiljö kan du skapa ett självsignerat certifikat med följande PowerShell-kommando:

New-SelfSignedCertificate -Subject "CN=Linux Shielded VM Template Disk Signing Certificate"

Bearbeta en disk med kommando-verktyget Malldiskguiden

Kopiera malldisken och certifikatet till en dator som kör Windows Server, version 1709, och kör sedan följande kommandon för att initiera signeringsprocessen. Den VHDX som du anger för parametern -Path skrivs över med den uppdaterade malldisken, så se till att göra en kopia innan du kör kommandot.

Viktigt!

De verktyg för fjärrserveradministration som är tillgängliga på Windows Server 2016 eller Windows 10 kan inte användas för att förbereda en Linux-skärmad vm-malldisk. Använd endast cmdleten Protect-TemplateDisk som är tillgänglig på Windows Server, version 1709 eller verktygen för fjärrserveradministration som är tillgängliga på Windows Server 2019 för att förbereda en Linux-avskärmad vm-malldisk.

# Replace "THUMBPRINT" with the thumbprint of your template disk signing certificate in the line below
$certificate = Get-Item Cert:\LocalMachine\My\THUMBPRINT

Protect-TemplateDisk -Path 'C:\temp\MyLinuxTemplate.vhdx' -TemplateName 'Ubuntu 16.04' -Version 1.0.0.0 -Certificate $certificate -ProtectedTemplateTargetDiskType PreprocessedLinux

Malldisken är nu redo att användas för att etablera linux-avskärmade virtuella datorer. Om du använder System Center Virtual Machine Manager för att distribuera den virtuella datorn kan du nu kopiera VHDX till VMM-biblioteket.

Du kan också vilja extrahera volymsignaturkatalogen från VHDX. Den här filen används för att ge information om signeringscertifikatet, disknamnet och versionen till vm-ägare som vill använda mallen. De måste importera den här filen till guiden för Avskärmningsdatafil för att ge dig, mallförfattaren som har signeringscertifikatet, behörighet att skapa dessa och framtida malldiskar åt dem.

Om du vill extrahera volymsignaturkatalogen kör du följande kommando i PowerShell:

Save-VolumeSignatureCatalog -TemplateDiskPath 'C:\temp\MyLinuxTemplate.vhdx' -VolumeSignatureCatalogPath 'C:\temp\MyLinuxTemplate.vsc'