租户受防护的 VM - 创建模板磁盘(可选)
要创建新的受保护虚拟机,你需要使用专门准备的已签名模板磁盘。 来自签名模板磁盘的元数据有助于确保磁盘在创建后不会被修改,并允许你作为租户限制可用于创建受保护的虚拟机的磁盘。 提供此磁盘的一种方法是由你(租户)自己来创建,如本主题中所述。
重要
如果你愿意,也可以使用托管服务提供商提供的模板磁盘。 如果采取后一种方法,请务必使用该模板磁盘部署测试虚拟机,并运行你自己的工具(防病毒、漏洞扫描程序等)来验证该磁盘实际上处于你信任的状态。
准备操作系统 VHDX
要创建受保护的模板磁盘,你需要首先准备一个将通过模板磁盘向导运行的操作系统磁盘。 此磁盘将用作受保护的虚拟机中的操作系统磁盘。 你可以使用任何现有工具来创建此磁盘,例如 Microsoft 桌面映像服务管理器 (DISM),或者手动设置具有空白 VHDX 的虚拟机并将操作系统安装到该磁盘上。 设置磁盘时,必须遵守特定于第 2 代和/或受保护虚拟机的以下要求:
| VHDX 的要求 | 原因 |
|---|---|
| 必须是 GUID 分区表 (GPT) 磁盘 | 第 2 代虚拟机需要,为了支持 UEFI |
| 磁盘类型必须是“基本”而不是“动态”。 注意:这是指逻辑磁盘类型,而不是 Hyper-V 支持的“动态扩展”VHDX 功能。 |
BitLocker 不支持动态磁盘。 |
| 磁盘至少有两个分区。 一个分区必须包括安装 Windows 的驱动器。 该驱动器是 BitLocker 将进行加密的驱动器。 另一个分区是活动分区,该分区包含引导加载程序,并保持未加密状态,以便可以启动计算机。 | BitLocker 需要 |
| 文件系统为 NTFS | BitLocker 需要 |
| VHDX 上安装的操作系统为以下操作系统之一: - Windows Server 2019、Windows Server 2016、Windows Server 2012 R2 或 Windows Server 2012 - Windows 10、Windows 8.1 和 Windows 8 |
需要,为的是支持第 2 代虚拟机和 Microsoft 安全启动模板 |
| 操作系统必须是通用的(运行 sysprep.exe) | 模板预配涉及为特定租户的工作负载专门定制虚拟机 |
注意
在此阶段,请勿将模板磁盘复制到 VMM 库中。
创建 Nano 服务器模板磁盘所需的软件包
如果你计划在受保护的虚拟机中将 Nano Server 作为来宾操作系统运行,则必须确保 Nano Server 映像包含以下软件包:
- Microsoft-NanoServer-Guest-Package
- Microsoft-NanoServer-SecureStartup-Package
在模板操作系统上运行 Windows 更新
在模板磁盘上,验证操作系统是否安装了所有最新的 Windows 更新。 最近发布的更新提高了端到端保护过程的可靠性,如果模板操作系统不是最新的,则该过程可能无法完成。
使用模板磁盘向导对 VHDX 进行签名和保护
要将模板磁盘与受保护的虚拟机一起使用,必须使用 BitLocker 对磁盘进行签名和加密。 为此,你将使用受保护模板磁盘创建向导。 此向导将为磁盘生成哈希,并将其添加到卷签名目录 (VSC) 中。 将使用你指定的证书对 VSC 进行签名,并在预配过程中使用该证书,以确保为租户部署的磁盘未被更改或替换为租户不信任的磁盘。 最后,在磁盘的操作系统上安装 BitLocker(如果尚未安装),以便在虚拟机配置期间为磁盘加密做好准备。
注意
模板磁盘向导将修改你就地指定的模板磁盘。 你可能希望在运行向导之前制作未受保护的 VHDX 的副本,以便稍后对磁盘进行更新。 你将无法修改使用模板磁盘向导保护的磁盘。
在运行 Windows Server 2016 的计算机(不需要是受保护的主机或 VMM 服务器)上执行以下步骤:
将在准备操作系统 VHDX 中创建的通用 VHDX 复制到服务器(如果还没有复制)。
从计算机上的“远程服务器管理工具”中安装“受防护的 VM 工具”功能。
Install-WindowsFeature RSAT-Shielded-VM-Tools -Restart获取或创建证书以签署 VHDX,该 VHDX 将成为新的受保护虚拟机的模板磁盘。 有关此证书的详细信息将合并到受保护数据文件中,该文件将磁盘授权为受信任的磁盘。 因此,从你和你的主机服务提供商信任的证书颁发机构获取此证书非常重要。 在你既是宿主又是租户的企业方案中,可以考虑从你的 PKI 颁发此证书。
如果你正在设置测试环境,并且只想使用自签名证书对模板磁盘进行签名,请在计算机上运行类似于以下内容的命令:
New-SelfSignedCertificate -DnsName publisher.fabrikam.com从“开始”菜单上的“管理工具”文件夹中启动模板磁盘向导,或者在命令提示符下键入 TemplateDiskWizard.exe。
在“证书”页上,单击“浏览”以显示证书列表。 选择用于对磁盘模板进行签名的证书。 单击“确定”,然后单击“下一步”。
在虚拟磁盘页面上,单击“浏览”以选择已准备的 VHDX,然后单击“下一步”。
在“签名目录”页上,提供容易记住的磁盘名称和版本。这些字段用于在磁盘签名后帮助你识别磁盘。
例如,对于磁盘名称,可以键入 WS2016,对于版本,可以键入 1.0.0.0
在向导的“查看设置”页上查看你的选择。 单击“生成”时,向导将在模板磁盘上启用 BitLocker,计算磁盘的哈希,并创建存储在 VHDX 元数据中的卷签名目录。
等待签名过程完成,然后再尝试装载或移动模板磁盘。 此过程可能需要一段时间才能完成,具体取决于磁盘的大小。
在“摘要”页上,将显示有关磁盘模板、用于对模板进行签名的证书以及证书颁发者的信息。 单击“关闭”退出向导。
向托管服务提供商提供受保护磁盘模板,以及你创建的受保护数据文件,如创建保护数据以定义受保护的虚拟机中所述。