Bereitstellen eines abgeschirmten virtuellen Linux-Computers in der VMM-Fabric

2024-11-01

Dieser Artikel beschreibt das Bereitstellen von abgeschirmten virtuellen Linux-Computern (VMs) im System Center Virtual Machine Manager (VMM).

Verfahren zum Abschirmen einer Linux-VM

Windows Server 2016 hat das Konzept einer abgeschirmten VM für Windows OS-basierte VMs eingeführt. Abgeschirmte VMs bieten Schutz vor böswilligen Aktionen von Administrierenden, wenn sich die Daten der VM im Ruhezustand befinden oder wenn nicht vertrauenswürdige Software auf Hyper-V-Hosts ausgeführt wird. Weitere Informationen

Mit Windows Server, Version 1709, hat Hyper-V die Unterstützung für die Bereitstellung von abgeschirmten Linux-VMs eingeführt.

Abschirmen einer Linux-VM

Erstellen eines signierten Vorlagedatenträgers.
Erstellen Sie eine Vorlage für abgeschirmte Linux-VMs in VMM.
Generieren einer geschützten Datendatei (PDK).
Erstellen eines abgeschirmten virtuellen Linux-Computers mithilfe der VM-Vorlage und der PDK.

Hinweis

Wenn Sie das Wireless Application Protocol (WAP) verwenden, können Sie abgeschirmte Linux-VMs auf die gleiche Weise bereitstellen, wie Sie abgeschirmte Windows-VMs bereitstellen.

Bereiten Sie einen Vorlagedatenträger vor

Gehen Sie folgendermaßen vor, um einen Vorlagendatenträger zu erstellen.
Installieren Sie im Abschnitt Vorbereiten eines Linux Image der Anweisungen den VMM-Spezialisierungsagenten, bevor Sie lsvmtools installieren.

Signieren Sie den Vorlagedatenträger

Generieren eines Zertifikats. Sie können ein selbstsigniertes Zertifikat zum Testen verwenden.

Verwenden Sie das folgende Beispiel-Cmdlet:
```
 	$cert = New-SelfSignedCertificate -DnsName '<<signing.contoso.com>>'
```

Signieren Sie den Datenträger mithilfe eines Windows Server 1709-Computers oder höher. Verwenden Sie das folgende Beispiel-Cmdlet:

Protect-TemplateDisk -Path "<<Path to the VHDX>>" -TemplateName "<<Template Name>>" -Version <<x.x.x.x>> -Certificate $cert -ProtectedTemplateTargetDiskType PreprocessedLinux

Kopieren Sie den Vorlagedatenträger und das signierte Image in die VMM-Bibliothek.

Erstellen Sie eine Vorlage für abgeschirmte Linux-VMs in VMM.

Wählen Sie in der VMM-Konsolenbibliothek VM-Vorlage erstellen aus.
Wählen Sie unter Quelle auswählen die Option Vorhandene VM-Vorlage verwenden aus. Durchsuchen Sie, um den signierten Vorlagendatenträger auszuwählen, den Sie zur VMM-Bibliothek hinzugefügt haben. Wählen Sie anschließend Weiter aus.
Unter Konfigurieren der Hardware:
- Wählen Sie unter Firmware die Option Aktivieren des sicheren Starts aus. Wählen Sie im Dropdownmenü Sichere Startvorlage die Option OpenSourceShieldedVM aus.
  
  Hinweis
  
  Diese Startvorlage ist eine neue Erweiterung für RS3-Hosts. Wenn sich keine RS3-Hosts in VMM befinden, wird diese Option nicht im Menü Sichere Startvorlage angezeigt.
- Wählen Sie die erforderliche Konfiguration für andere Hardwareeigenschaften wie Prozessoren, Arbeitsspeicher und das VM-Netzwerk aus.
Unter Konfigurieren des Betriebssystems:
- Wählen Sie das Profil für das Gastbetriebssystem [Neue Linux-Betriebssystem-Anpassungseinstellungen erstellen] aus.
- Wählen Sie das Betriebssystem auf dem Vorlagendatenträger aus, den Sie zuvor erstellt haben (Ubuntu Linux).
Wählen Sie Weiter aus.
Überprüfen Sie unter Zusammenfassung die Details, und wählen Sie die Option Erstellen, um die Generierung der abgeschirmten Linux-VM-Vorlage in VMM abzuschließen aus.

Erstellen der geschützten Datendatei

Bevor Sie die geschützte Datendatei (PDK) generieren:

Führen Sie zum Generieren der PDK das folgende Beispielskript auf einem Server aus, auf dem Windows Server, Version 1709 oder höher ausgeführt wird:


# Create a VolumeSignatureCatalog file for the template disk to ensure that no one tampers with the template disk at the deployment time
# Create an owner certificate
$Owner = New-HgsGuardian –Name '<<Owner>>' –GenerateCertificates

# Import the HGS guardian
$Guardian = Import-HgsGuardian -Path <<Import the xml from pre-step 1>> -Name '<<Name of the guardian>>' –AllowUntrustedRoot

# Create the PDK file on a server running Windows Server version 1709

New-ShieldingDataFile -ShieldingDataFilePath '<<Shielding Data file path>>' -Owner $Owner –Guardian $guardian –VolumeIDQualifier (New-VolumeIDQualifier -VolumeSignatureCatalogFilePath '<<Path to the .vsc file generated in pre-step 2>>' -VersionRule Equals) -AnswerFile '<<Path to LinuxOsConfiguration.xml>>' -policy Shielded

Erstellen eines abgeschirmten virtuellen Linux-Computers mithilfe der VM-Vorlage und der PDK

Wählen Sie in der VMM-Konsole Virtuelle Maschine erstellen aus.
Wählen Sie die Option Verwenden eines vorhandenen virtuellen Computers, einer VM-Vorlage oder einer virtuellen Festplatte aus.
Wählen Sie Abgeschirmte Linux-VM-Vorlage>Weiter aus.
Benennen Sie den virtuellen Computer, und wählen Sie Weiter aus.
Stellen Sie unter Hardware konfigurieren sicher, dass die Details ihren Vorlageneinstellungen entsprechen. Wählen Sie Weiteraus.
Stellen Sie unter Betriebssystemeinstellungen konfigurieren sicher, dass die Details den Einstellungen entsprechen, die Sie beim Erstellen der Vorlage vorgenommen haben. Wählen Sie Weiteraus.
Wählen Sie die von Ihnen erstellte geschützte Datendatei (PDK) aus.
Wählen Sie die Zielhostgruppe aus, und klicken Sie auf Weiter.
Wählen Sie den Host anhand der Bewertung aus, die das VMM-Platzierungsmodul vergeben hat. Wählen Sie Weiteraus.
Überprüfen Sie unter Einstellungen konfigurieren die Einstellungen des virtuellen Computers, und klicken Sie auf Weiter.
Überprüfen Sie die Aktionen in Eigenschaften hinzufügen, und wählen Sie Weiter aus.
Um den abgeschirmten virtuellen Linux-Computer zu erstellen, wählen Sie Erstellen aus.

Während der Bereitstellung des virtuellen Computers liest der VMM-Spezialisierungsagent die Linux-Konfigurationsdatei PDK und passt die VM an.

Nächste Schritte

Verschaffen Sie sich eine Übersicht über Guarded Fabric und abgeschirmte VMs.
Erfahren Sie mehr über Abgeschirmte Linux-VM-Tools.