Freigeben über

Bereitstellen von geschützten Hosts in VMM

  • Artikel

In diesem Artikel wird beschrieben, wie Sie geschützte Hyper-V-Hosts in einer Computer fabric (System Center Virtual Machine Manager, VMM) bereitstellen. Erfahren Sie mehr über geschützten Stoff.

Es gibt eine Reihe von Möglichkeiten zum Einrichten von geschützten Hyper-V-Hosts in einer VMM-Fabric.

  • Konfigurieren Sie einen vorhandenen Host als geschützten Host: Sie können einen vorhandenen Host konfigurieren, um abgeschirmte VMs auszuführen.
  • Hinzufügen oder Bereitstellen eines neuen geschützten Hosts: Dieser Host kann wie folgt sein:
    • Ein vorhandener Windows Server-Computer (mit oder ohne hyper-V-Rolle)
    • Ein Bare-Metal-Computer

Sie richten überwachte Hosts in der VMM-Fabric wie folgt ein:

  1. Konfigurieren sie globale HGS-Einstellungen: VMM verbindet alle geschützten Hosts mit demselben Host Guardian Service (HGS)-Server, sodass Sie abgeschirmte VMs erfolgreich zwischen den Hosts migrieren können. Sie geben die globalen HGS-Einstellungen an, die für alle geschützten Hosts gelten, und Sie können die hostspezifischen Einstellungen angeben, die die globalen Einstellungen außer Kraft setzen. Zu diesen Einstellungen zählen:

    • Nachweis-URL: Die URL, die der Host zum Herstellen einer Verbindung mit dem HGS-Nachweisdienst verwendet. Dieser Dienst autorisiert einen Host zum Ausführen abgeschirmter VMs.
    • Url des Schlüsselschutzservers: Die URL, die der Host zum Abrufen des Schlüssels verwendet, der zum Entschlüsseln von VMs erforderlich ist. Der Host muss den Nachweis übergeben, um Schlüssel abzurufen.
    • Codeintegritätsrichtlinien: Eine Codeintegritätsrichtlinie schränkt die Software ein, die auf einem geschützten Host ausgeführt werden kann. Wenn HGS für die Verwendung des TPM-Nachweiss konfiguriert ist, müssen geschützte Hosts so konfiguriert werden, dass eine vom HGS-Server autorisierte Codeintegritätsrichtlinie verwendet wird. Sie können den Speicherort von Codeintegritätsrichtlinien in VMM angeben und auf Ihren Hosts bereitstellen. Dies ist optional und ist nicht erforderlich, um eine geschützte Fabric zu verwalten.
    • VHD-Hilfsprogramm für virtuelle Computer: Eine speziell vorbereitete virtuelle Festplatte, die zum Konvertieren der vorhandenen VMs in abgeschirmte VMs verwendet wird. Sie müssen diese Einstellung konfigurieren, wenn Sie die vorhandenen virtuellen Computer abschirmen möchten.

  2. Konfigurieren Sie die Cloud: Wenn der geschützte Host in einer VMM-Cloud enthalten ist, müssen Sie die Cloud aktivieren, um abgeschirmte VMs zu unterstützen.

Vor der Installation

Stellen Sie sicher, dass Sie den Host Guardian Service bereitgestellt und konfiguriert haben, bevor Sie fortfahren. Weitere Informationen zum Konfigurieren von HGS finden Sie in der Windows Server-Dokumentation.

Stellen Sie außerdem sicher, dass alle Hosts, die zu geschützten Hosts werden, die geschützten Hostvoraussetzungen erfüllen:

  • Betriebssystem: Hostserver müssen Windows Server Datacenter ausführen. Es wird empfohlen, Server Core für geschützte Hosts zu verwenden.
  • Rolle und Features: Hostserver sollten die Hyper-V-Rolle und das Hyper-V-Supportfeature von Host Guardian ausführen. Der Host Guardian Hyper-V-Support ermöglicht es dem Host, mit HGS zu kommunizieren, um seine Integrität zu bestätigen und Schlüssel für abgeschirmte VMs anzufordern. Wenn Ihr Host Nano Server ausführt, sollte es die Pakete Compute, SCVMM-Package, SCVMM-Compute, SecureStartup und ShieldedVM installiert haben.
  • TPM-Nachweis: Wenn Ihr HGS für die Verwendung des TPM-Nachweiss konfiguriert ist, müssen die Hostserver:
    • Verwenden von UEFI 2.3.1c und einem TPM 2.0-Modul
    • Starten im UEFI-Modus (nicht BIOS- oder Legacymodus )
    • Sicherer Start aktivieren
  • HGS-Registrierung: Hyper-V-Hosts müssen bei HGS registriert werden. Wie sie registriert sind, hängt davon ab, ob HGS AD- oder TPM-Nachweis verwendet. Weitere Informationen
  • Livemigration: Wenn Sie abgeschirmte virtuelle Computer live migrieren möchten, müssen Sie zwei oder mehr geschützte Hosts bereitstellen.
  • Domäne: Geschützte Hosts und der VMM-Server müssen sich in derselben Domäne oder in Domänen mit einer bidirektionale Vertrauensstellung befinden.

Konfigurieren globaler HGS-Einstellungen

Bevor Sie Ihrer VMM-Compute fabric geschützte Hosts hinzufügen können, müssen Sie VMM mit Informationen über die HGS für das Fabric konfigurieren. Dasselbe HGS wird für alle von VMM verwalteten geschützten Hosts verwendet.

  1. Rufen Sie die UrLs für den Nachweis und schlüsselschutz für Ihr Fabric von Ihrem HGS-Administrator ab.

  2. Wählen Sie in der VMM-Konsole "Einstellungen host>guardian Service Settings" aus.

  3. Geben Sie die Nachweis- und Schlüsselschutz-URLs in die entsprechenden Felder ein. Sie müssen die Codeintegritätsrichtlinien und vm-Abschirmungshilfsabschnitte derzeit nicht konfigurieren.

    Screenshot des Fensters

  4. Klicken Sie auf Fertig stellen, um die Konfiguration zu speichern.

Hinzufügen oder Bereitstellen eines neuen geschützten Hosts

  1. Fügen Sie den Host hinzu:
    • Wenn Sie einen vorhandenen Server hinzufügen möchten, auf dem Windows Server als geschützter Hyper-V-Host ausgeführt wird, fügen Sie ihn der Fabric hinzu.
    • Wenn Sie einen Hyper-V-Host von einem Bare-Metal-Computer bereitstellen möchten, befolgen Sie diese Voraussetzungen und Anweisungen.

      Hinweis

      Sie können den Host beim Bereitstellen als geschützt bereitstellen (Einstellungen des Ressourcen-Assistenten >für betriebssystemeinstellungen>konfigurieren als geschützter Host).

  2. Fahren Sie mit dem nächsten Abschnitt fort, um den Host als geschützten Host zu konfigurieren.

Konfigurieren eines vorhandenen Hosts als geschützter Host

Führen Sie die folgenden Schritte aus, um einen vorhandenen hyper-V-Host zu konfigurieren, der von VMM als geschützter Host verwaltet wird:

  1. Platzieren Sie den Host im Wartungsmodus.

  2. Klicken Sie unter Alle Hosts mit der rechten Maustaste auf den Host > Eigenschaften>Host-Überwachungsdienst.

    Screenshot der Option

  3. Wählen Sie diese Option aus, um das Hyper-V-Supportfeature des Host guardian zu aktivieren und den Host zu konfigurieren.

    Hinweis

    • Die URLs für den globalen Nachweis und den Schlüsselschutzserver werden auf dem Host festgelegt.
    • Wenn Sie diese URLs außerhalb der VMM-Konsole ändern, müssen Sie sie auch in VMM aktualisieren. Wenn Dies nicht der Richtige ist, platziert VMM abgeschirmte VMs nicht auf dem Host, bis die URLs erneut übereinstimmen. Sie können das Kontrollkästchen "Aktivieren" auch deaktivieren und erneut aktivieren, um den Host mit den in VMM konfigurierten URLs neu zu konfigurieren.

  4. Wenn Sie VMM zum Verwalten von Codeintegritätsrichtlinien verwenden, können Sie das zweite Kontrollkästchen aktivieren und die entsprechende Richtlinie für das System aktivieren.

  5. Wählen Sie "OK" aus, um die Konfiguration des Hosts zu aktualisieren.

  6. Nehmen Sie den Host aus dem Wartungsmodus.

VMM überprüft, ob der Host den Nachweis übergibt, wenn Sie ihn hinzufügen, und jedes Mal, wenn der Hoststatus aktualisiert wird. VMM stellt nur abgeschirmte VMs auf Hosts bereit und migriert sie, die einen Nachweis bestanden haben. Sie können den Nachweisstatus eines Hosts in "Properties>Status>HGS Client Overall" überprüfen.

Aktivieren von geschützten Hosts in einer VMM-Cloud

Aktivieren Sie eine Cloud, um geschützte Hosts zu unterstützen:

  1. Wählen Sie in der VMM-Konsole VMs und Services>Clouds aus. Klicken Sie mit der rechten Maustaste auf den Cloudnamen >Eigenschaften.
  2. Wählen Sie in der allgemeinen>abgeschirmten VM-Unterstützung in dieser privaten Cloud die Option "Unterstützt" aus.

Verwalten und Bereitstellen von Codeintegritätsrichtlinien mit VMM

In geschützten Fabrics, die für die Verwendung des TPM-Nachweiss konfiguriert sind, muss jeder Host mit einer Codeintegritätsrichtlinie konfiguriert werden, die vom Host Guardian Service als vertrauenswürdig eingestuft wird. Um die Verwaltung von Codeintegritätsrichtlinien zu vereinfachen, können Sie optional VMM verwenden, um neue oder aktualisierte Richtlinien für Ihre geschützten Hosts bereitzustellen.

Führen Sie die folgenden Schritte aus, um eine Codeintegritätsrichtlinie auf einem von VMM verwalteten geschützten Host bereitzustellen:

  1. Erstellen Sie eine Codeintegritätsrichtlinie für jeden Referenzhost in Ihrer Umgebung. Sie benötigen eine andere CI-Richtlinie für jede eindeutige Hardware- und Softwarekonfiguration Ihrer geschützten Hosts.
  2. Speichern Sie die CI-Richtlinien in einer sicheren Dateifreigabe. Für die Computerkonten für jeden geschützten Host ist Lesezugriff auf die Freigabe erforderlich. Nur vertrauenswürdige Administratoren sollten Schreibzugriff haben.
  3. Wählen Sie in der VMM-Konsole "Einstellungen host>guardian Service Settings" aus.
  4. Wählen Sie im Abschnitt "Codeintegritätsrichtlinien" den Eintrag "Hinzufügen" aus, und geben Sie einen Anzeigenamen und den Pfad zu einer CI-Richtlinie an. Wiederholen Sie diesen Schritt für jede eindeutige CI-Richtlinie. Stellen Sie sicher, dass Sie Ihre Richtlinien auf eine Weise benennen, mit der Sie ermitteln können, welche Richtlinie auf welche Hosts angewendet werden soll. Screenshot: Hinzufügen einer Codeintegritätsrichtlinie.
  5. Klicken Sie auf Fertig stellen, um die Konfiguration zu speichern.

Führen Sie nun für jeden geschützten Host die folgenden Schritte aus, um eine Codeintegritätsrichtlinie anzuwenden:

  1. Platzieren Sie den Host im Wartungsmodus.

  2. Klicken Sie unter Alle Hosts mit der rechten Maustaste auf den Host > Eigenschaften>Host-Überwachungsdienst.

    Screenshot: Anwenden einer Codeintegritätsrichtlinie.

  3. Aktivieren Sie die Option zum Konfigurieren des Hosts mit einer Codeintegritätsrichtlinie. Wählen Sie dann die entsprechende Richtlinie für das System aus.

  4. Wählen Sie "OK" aus, um die Konfigurationsänderung anzuwenden. Der Host kann neu gestartet werden, um die neue Richtlinie anzuwenden.

  5. Nehmen Sie den Host aus dem Wartungsmodus.

Warnung

Stellen Sie sicher, dass Sie die richtige Codeintegritätsrichtlinie für den Host auswählen. Wenn eine inkompatible Richtlinie auf den Host angewendet wird, funktionieren einige Anwendungen, Treiber oder Betriebssystemkomponenten möglicherweise nicht mehr.

Wenn Sie die Codeintegritätsrichtlinie in der Dateifreigabe aktualisieren und auch die geschützten Hosts aktualisieren möchten, können Sie dies tun, indem Sie die folgenden Schritte ausführen:

  1. Platzieren Sie den Host im Wartungsmodus.
  2. Klicken Sie in Alle Hosts mit der rechten Maustaste auf den Host, und wählen Sie >Aktuelle Codeintegritätsrichtlinie anwenden aus.
  3. Nehmen Sie den Host aus dem Wartungsmodus.

Nächste Schritte