Freigeben über

Einrichten eines Datenträgers und einer VM-Vorlage zum Bereitstellen abgeschirmter VMs

  • Artikel

Sie stellen abgeschirmte virtuelle Computer im System Center Virtual Machine Manager (VMM)-Compute fabric mithilfe einer signierten vm-Festplatte (VHDX) und optional mit einer VM-Vorlage bereit. In diesem Artikel wird beschrieben, wie Sie signierte Vorlagendatenträger zu VMM hinzufügen, einen Schutzhilfsdatenträger konfigurieren, neue abgeschirmte VMs bereitstellen und die vorhandenen virtuellen Computer in abgeschirmte VMs in VMM konvertieren.

Vor der Installation

  • Der signierte Vorlagendatenträger, der zum Erstellen der abgeschirmten VM-Vorlage verwendet wird, muss die Familie und Version gekennzeichnet sein.
  • Auf die VMM-Bibliothek, der Sie den signierten Vorlagendatenträger hinzufügen, muss auf Clouds zugegriffen werden können, von denen abgeschirmte VMs bereitgestellt werden.
  • Die freigegebene Bibliothek sollte Clouds hinzugefügt werden, von denen abgeschirmte VMs bereitgestellt werden (nicht im schreibgeschützten Modus).

Hinzufügen signierter Vorlagendatenträger für abgeschirmte VMs zur VMM-Bibliothek

Abgeschirmte VMs können auf zwei Arten bereitgestellt werden: durch direkte Bereitstellung von einem signierten Vorlagendatenträger oder durch Konvertieren einer vorhandenen VM in einen abgeschirmten virtuellen Computer.

Signierte Vorlagendatenträger stellen Mandanten sicher, dass die Datenträgerinhalte nicht geändert wurden und es Mandanten ermöglichen, Bereitstellungsgeheimnisse wie Administrator-Kennwörter und Zertifikate auf verschlüsselte Weise an den virtuellen Computer zu übertragen. Aus diesem Grund wird es bevorzugt, abgeschirmte VMs von signierten Vorlagendatenträgern bereitzustellen.

Führen Sie die folgenden Schritte aus, um einen signierten Vorlagendatenträger zur VMM-Bibliothek vorzubereiten und hinzuzufügen:

  1. Bereiten Sie einen signierten Vorlagendatenträger auf einem Computer mit Windows Server 2016 mit Desktopdarstellung oder Windows 10 oder Windows 11 mit installierten Remoteserver-Verwaltungstools vor.
  1. Bereiten Sie einen signierten Vorlagendatenträger auf einem Computer mit Windows Server 2016 oder 2019 mit Desktopdarstellung oder höher oder Windows 10 oder Windows 11 mit installierten Remoteserver-Verwaltungstools vor.

  1. Kopieren Sie den Vorlagendatenträger in eine Bibliotheksfreigabe (standardmäßig „<VMM-Server>\MSSCVMMLibrary\VHDs“), und aktualisieren Sie den Bibliothekserver.

  2. Um VMM Informationen über das Betriebssystem auf dem Vorlagendatenträger bereitzustellen, klicken Sie unter Bibliothek mit der rechten Maustaste auf den Datenträger, und klicken Sie dann auf >Eigenschaften.

  3. Wählen Sie im Betriebssystem das Betriebssystem aus, das auf dem Datenträger installiert ist. Dies weist auf VMM hin, dass die VHDX nicht leer ist. Das Schildsymbol neben dem Datenträgernamen zeigt es als signierten Vorlagendatenträger für abgeschirmte VMs an. Geben Sie die Informationen zur Familie und Veröffentlichung des Datenträgers an, um die Ressourcen im Azure Pack-Self-Service-Portal (optional) verfügbar zu machen.

    Screenshot des Fensters

  4. Wählen Sie "OK" aus, um die Eigenschaften des signierten Vorlagendatenträgers zu speichern.

Erstellen einer Vorlage für eine abgeschirmte VM

Sie können optional eine abgeschirmte VM-Vorlage mit einem signierten Vorlagendatenträger erstellen. VM-Vorlagen definieren Virtuelle Computerressourcen wie CPU-Anzahl, RAM und Netzwerk für einen Betriebssystemdatenträger.

Vorlagen für abgeschirmte VMs unterscheiden sich geringfügig von einer normalen VM-Vorlage. Einige Einstellungen sind behoben; Beispielsweise muss der virtuelle Computer eine VM der Generation 2 sein, auf der der sichere Start aktiviert ist. Erstellen Sie die VM-Vorlage wie folgt:

  1. Wählen Sie "VM-Vorlage erstellen">aus. Wählen Sie in "Quelle auswählen" eine vorhandene VM-Vorlage oder eine virtuelle Festplatte aus, die in der Bibliothek >durchsuchen gespeichert ist.
  2. Wählen Sie den signierten Vorlagendatenträger aus, geben Sie einen Vorlagennamen und eine optionale Beschreibung an, und wählen Sie "OK" aus.
  3. Geben Sie unter "Hardware konfigurieren" die Hardwareeigenschaften für die virtuellen Computer an, die Sie aus der Vorlage erstellen. Stellen Sie sicher, dass mindestens eine NIC konfiguriert und verfügbar ist. Mandanten stellen eine Verbindung mit abgeschirmten VMs über remotedesktopverbindung, Windows-Remoteverwaltung oder andere Remoteverwaltungstools her, die Netzwerk erfordern.
  4. Wenn Sie statische IP-Adressen im Mandantenpool verwenden möchten, müssen Sie Ihre Mandanten informieren. Mandanten müssen eine Antwortdatei mit Werten bereitstellen, die auf einen abgeschirmten virtuellen Computer spezialisiert sind. Es sind spezielle, bekannte Platzhalterwerte erforderlich, um statische IP-Pools zu unterstützen.
  5. Geben Sie unter "Betriebssystem konfigurieren" die Betriebssystemversion, den Computernamen, den Product Key und die Zeitzone an. Der Mandant stellt sichere Informationen bereit, z. B. das Administratorkennwort in einer abschirmenden Datendatei (). PDK), die sie beim Bereitstellen einer neuen VM bereitstellen. Wenn Sie einen Product Key angeben, stellen Sie sicher, dass er für das Betriebssystem auf dem Vorlagendatenträger gültig ist. Ist dies nicht der Grund, wird der virtuelle Computer nicht erfolgreich bereitgestellt. Stellen Sie nach dem Erstellen der VM-Vorlage sicher, dass sie für die Benutzerrolle "Mandantenadministrator" verfügbar ist. Mandanten können sie dann verwenden, um neue virtuelle Computer bereitzustellen.

Konfigurieren der Abschirmungshilfs-VHD

Die vorhandenen Windows-VMs können auch in abgeschirmte VMs mit verwendung einer abschirmenden Hilfs-VHD konvertiert werden. Die Hilfs-VHD ist ein spezieller Datenträger, der mit Tools zum Verschlüsseln des Betriebssystemlaufwerks eines anderen virtuellen Computers vorbereitet ist. VMM muss mit einer Hilfs-VHD konfiguriert werden, bevor Sie die vorhandenen virtuellen Computer abschirmen können.

  1. Bereiten Sie eine Hilfs-VHD auf einem Computer mit Windows Server 2016 oder höher oder Windows 10 oder Windows 11 mit installierten Remoteserver-Verwaltungstools vor.
  2. Kopieren Sie die Hilfs-VHD in eine Bibliotheksfreigabe, und aktualisieren Sie den Bibliotheksserver.
  3. Wählen Sie in der VMM-Konsole "Einstellungen host>guardian Service Settings" aus.
  4. Wählen Sie im Abschnitt "Schutzhilfs-VHD" die Option "Durchsuchen" und dann die Hilfs-VHD aus der Liste der Dateien in den Bibliotheksfreigaben aus.
  5. Klicken Sie auf Fertig stellen, um die Konfiguration zu speichern.

Nachdem die VHD für die Abschirmung konfiguriert wurde, können Sie eine vorhandene VM abschirmen.

Nächste Schritte

Überprüfen Sie abgeschirmte VMs , um zu verstehen, wie abgeschirmte virtuelle Computer in einer VMM-Compute fabric bereitgestellt werden.