通过

在 VMM 构造中预配受防护的虚拟机

  • 项目

本文介绍如何在 System Center Virtual Machine Manager (VMM) 计算构造中部署受防护的虚拟机。

可以通过多种方式在 VMM 中部署受防护的 VM:

  • 将现有 VM 转换为受防护的 VM。
  • 使用已签名的虚拟机硬盘(VHDX)和 VM 模板(可选)创建新的受防护的 VM。

注意

在使用负载均衡器或 WAN 优化设备通过网络部署受防护的虚拟机时可能会遇到问题。 在传输过程中,要成功部署受防护的 VM,数据包必须不可修改。

开始之前

观看 提供 VMM 中受防护 VM 预配的快速、两分钟概述的视频。 然后,请确保已完成以下操作:

  1. 准备 HGS 服务器:应部署 HGS 服务器。 了解详细信息

  2. 设置 VMM:需要在 VMM 中配置全局 HGS 设置,并至少设置一个受保护的主机。 如果受保护的主机属于云,则应启用云以支持受防护的 VM。 了解详细信息

  3. 准备受防护的 VHDX 和 VM 模板:应从受防护的虚拟硬盘(VHDX)部署受防护的 VM,还可以选择使用 VM 模板。 了解有关 准备这些内容的详细信息。

    注意

    不能使用服务模板来创建受防护的 VM。 请改用脚本。

  4. 准备防护数据文件:若要在 VMM 库中使用签名的模板磁盘,租户必须准备一个或多个屏蔽数据文件。 此文件包含租户部署 VM 所需的所有机密,包括专用于 VM、证书和管理员帐户密码的无人参与文件。 该文件还指定租户信任哪些受保护的构造来托管其 VM 以及有关已签名模板磁盘的信息。 该文件已加密,只能由租户信任的受保护的构造中的主机读取。 了解详细信息

  5. 设置主机组:为便于管理,建议将受保护的主机置于专用 VMM 主机组中。

  6. 验证现有 VM 要求:如果要将现有 VM 转换为受防护的 VM,请注意以下事项:

    • VM 必须是第 2 代,并且已启用 Microsoft Windows 安全启动模板
    • 磁盘上的操作系统必须是以下项之一:
    • Windows Server 2016、Windows Server 2012 R2、Windows Server 2012
    • Windows 10、Windows 8.1 和 Windows 8
    • VM 的 OS 磁盘必须使用 GUID 分区表。 这是第 2 代 VM 支持 UEFI 所必需的。
    • VM 必须是第 2 代,并且已启用 Microsoft Windows 安全启动模板
    • 磁盘上的操作系统必须是以下项之一:
    • Windows Server 2016、Windows Server 2012 R2、Windows Server 2012
    • Windows 10
    • VM 的 OS 磁盘必须使用 GUID 分区表。 这是第 2 代 VM 支持 UEFI 所必需的。
    • VM 必须是第 2 代,并且已启用 Microsoft Windows 安全启动模板
    • 磁盘上的操作系统必须是以下项之一:
      • Windows Server 2022、Windows Server 2019、Windows Server 2016
      • Windows 11、Windows 10
    • VM 的 OS 磁盘必须使用 GUID 分区表。 这是第 2 代 VM 支持 UEFI 所必需的。
    • VM 必须是第 2 代,并且已启用 Microsoft Windows 安全启动模板
    • 磁盘上的操作系统必须是以下项之一:
      • Windows Server 2025、Windows Server 2022、Windows Server 2019
      • Windows 11、Windows 10
    • VM 的 OS 磁盘必须使用 GUID 分区表。 这是第 2 代 VM 支持 UEFI 所必需的。

  7. 设置帮助程序 VHD:托管服务提供商需要创建充当帮助程序 VHD 的 VM 来转换现有计算机。 了解详细信息

将防护数据文件添加到 VMM

在将现有 VM 转换为受防护的 VM 或从模板中预配受防护的新 VM 之前,VM 所有者必须生成屏蔽数据文件并将其添加到 VMM。

如果尚未导入屏蔽数据文件,请完成以下步骤:

  1. 如果还没有防护数据文件,请创建一个防护数据文件 。 确保防护数据文件授权托管构造 VMM 管理运行受防护的 VM。
  2. 在 VMM 控制台中,选择“>导入防护数据>浏览”,然后选择屏蔽数据文件。
  3. 在“名称”中为屏蔽数据文件指定友好名称,并选择性地添加说明。 我们建议你指示防护数据文件是否用于其名称中的现有或新 VM,以便更轻松地再次查找。
  4. 选择“导入以在 VMM 中保存防护数据。

若要管理导入的防护数据文件,请转到>VM 防护数据(在配置文件下)。

预配受防护的新 VM

  1. 在开始之前,请确保已具备所有先决条件。
  2. VM 和服务中,选择“创建虚拟机以打开“创建虚拟机向导”。
  3. “选择源”中,选择“ 使用现有的虚拟机、VM 模板或虚拟硬盘>浏览”。
  4. 选择受防护的 VM 模板或已签名的模板磁盘。 两者均由盾牌图标 VMM 中盾牌图标的图像。标识。
  5. “选择屏蔽数据文件”中,选择“浏览,然后选择屏蔽数据文件。 仅显示可用于创建新的受防护 VM 的数据文件。 选择“确定>下一步以继续。
  6. 按照 以下说明 完成向导,并在主机/云上部署 VM。

完成向导后,VMM 会从磁盘或模板创建新的受防护的 VM:

  1. 模板磁盘 (VHDX) 文件是从 VMM 库复制的。
  2. VM 预配会解密防护数据文件中的数据,完成unattend.xml文件中的任何替换字符串,并将其他文件从防护数据文件复制到操作系统驱动器(例如 RDP 证书)。
  3. VM 重启、自定义并使用 BitLocker 重新加密。 BitLocker 完整卷加密密钥存储在新 VM 的虚拟 TPM 中。
  4. 当unattend.xml文件中的关闭命令运行时,VM 自定义已完成;VM 保持关闭状态。 如果自定义被卡住,请在未屏蔽的 VM 上运行unattend.xml文件,或使用允许控制台访问的加密支持的防护数据文件来检查该文件。
  5. VMM 检测到专用化完成后,它将更新其状态,以指示 VM 已创建,如果选择,则启动 VM。

防护现有 VM

可以为当前在 VMM 构造中不受保护的主机上运行的 VM 启用防护。

  1. 在开始之前,请确保已就绪所有先决条件。
  2. 使 VM 脱机。
  3. 建议在附加到 VM 的所有磁盘上启用 BitLocker,然后再将其移动到受保护的主机。
  4. 选择 VM >属性>防护,然后选择屏蔽数据文件。
  5. 关闭 VM,从非受保护的主机导出,并将其导入到受保护的主机。 只有受保护的主机才能访问 VM 数据。

后续步骤

查看 “管理虚拟机设置 ”,了解如何为 VM 配置性能和可用性设置。