Configuración de un disco y una plantilla de VM para implementar VM blindadas
Las máquinas virtuales blindadas se implementan en el tejido de proceso de System Center Virtual Machine Manager (VMM) mediante un disco duro de máquina virtual firmado (VHDX) y, opcionalmente, con una plantilla de VM. En este artículo se describe cómo agregar discos de plantilla firmados a VMM, configurar un disco de utilidad de blindaje, implementar nuevas VM blindadas y convertir las VM existentes en VM blindadas en VMM.
Antes de comenzar
- El disco de plantilla firmado que se usa para crear la plantilla de VM blindada debe tener marcada la familia y la versión.
- La biblioteca VMM a la que agregas el disco de plantilla firmado debe ser accesible para las nubes desde las que se aprovisionarán las VM blindadas.
- La biblioteca compartida debe agregarse a las nubes desde las que se aprovisionarán las VM blindadas (no en modo de solo lectura).
Adición de discos de plantilla firmados para VM blindadas a la biblioteca VMM
Las VM blindadas se pueden implementar de dos maneras: mediante la implementación directamente desde un disco de plantilla firmado o mediante la conversión de una VM existente en una VM blindada.
Los discos de plantilla firmados garantizan a los inquilinos que el contenido del disco no se ha modificado y permiten a los inquilinos transferir de forma segura secretos de implementación, como contraseñas de administrador y certificados a la VM de forma cifrada. Por este motivo, es preferible implementar las VM blindadas desde discos de plantilla firmados.
Para preparar y agregar un disco de plantilla firmado a la biblioteca VMM, completa los pasos siguientes:
- Prepara un disco de plantilla firmado en una máquina donde se ejecute Windows Server 2016 con Experiencia de escritorio, o Windows 10 o Windows 11, que tenga instaladas las Herramientas de administración remota del servidor.
- Prepara un disco de plantilla firmado en una máquina donde se ejecute Windows Server 2016 o 2019 con Experiencia de escritorio o posterior, o Windows 10 o Windows 11 que tenga instaladas las Herramientas de administración remota del servidor.
- Prepare un disco de plantilla firmado en una máquina que ejecute Windows Server 2025 o 2022 o 2019 con experiencia de escritorio, o Windows 10 o Windows 11 con las herramientas de administración remota del servidor instaladas.
Copie el disco de plantilla en un recurso compartido de biblioteca (de forma predeterminada \\<vmmserver>\MSSCVMMLibrary\VHD) y actualice el servidor de biblioteca.
Para proporcionar a VMM información sobre el sistema operativo en el disco de plantilla, en Biblioteca, haga clic con el botón derecho en el disco >Propiedades.
En Sistema operativo, selecciona el sistema operativo instalado en el disco. Esto indica a VMM que el VHDX no está en blanco. El icono de escudo junto al nombre del disco indica que es un disco de plantilla firmado para VM blindadas. Proporciona la información sobre la Familia y la Versión del disco, y para que los recursos estén disponibles en el portal de autoservicio de Azure Pack del inquilino (opcional).
Selecciona Aceptar para guardar las propiedades del disco de plantilla firmado.
Creación de una plantilla de máquina virtual blindada
Opcionalmente, puedes crear una plantilla de VM blindada mediante un disco de plantilla firmado. Las plantillas de VM definen recursos de máquina virtual, como el recuento de CPU, la RAM y las redes de un disco del sistema operativo.
Las plantillas para VM blindadas varían ligeramente de una plantilla de VM normal. Algunos valores de configuración se corrigen; por ejemplo, la VM debe ser de segunda generación y tener habilitado el arranque seguro. Crea la plantilla de VM de la siguiente manera:
- Selecciona Biblioteca>Crear plantilla de VM. En Seleccionar origen, haz clic en Usar una plantilla de VM o un disco duro virtual existentes almacenados en la biblioteca >Examinar.
- Selecciona el disco de plantilla firmado, especifica un nombre de plantilla y una descripción opcional y selecciona Aceptar.
- En Configurar hardware, especifica las propiedades de hardware de las VM que crees a partir de la plantilla. Asegúrate de que al menos una NIC esté disponible y configurada. Los inquilinos se conectan a las VM blindadas a través de Conexión a Escritorio remoto, la Administración remota de Windows u otras herramientas de administración remota que requieren conexión en red.
- Si deseas usar el direccionamiento IP estático en el grupo de inquilinos, debes informar a los inquilinos. Los inquilinos deben proporcionar un archivo de respuesta con valores, que especializa una VM blindada para ellos. Hay valores de marcador de posición especiales y conocidos necesarios para admitir grupos de direcciones IP estáticas.
- En Configurar sistema operativo, especifica la versión del sistema operativo, el nombre del equipo, la clave de producto y la zona horaria. El inquilino proporciona información segura, como la contraseña de administrador en un archivo de datos de blindaje (.PDK), que proporcionará al aprovisionar una nueva VM. Si especificas una clave de producto, asegúrate de que es válida para el sistema operativo en el disco de plantilla. Si no es así, la VM no se aprovisiona correctamente. Una vez creada la plantilla de VM, asegúrate de que está disponible para el rol de usuario Administrador de inquilinos. A continuación, los inquilinos pueden usarlo para aprovisionar nuevas VM.
Configuración de la aplicación auxiliar de blindaje VHD
Las VM de Windows existentes también se pueden convertir en VM blindadas con el uso de una aplicación auxiliar de blindaje VHD. La aplicación auxiliar de blindaje VHD es un disco especial preparado con herramientas para cifrar la unidad del sistema operativo de otra VM. VMM debe configurarse con una aplicación auxiliar VHD para poder blindar las VM existentes.
- Prepare un VHD auxiliar en un equipo que ejecute Windows Server 2016 o Windows 10 con las herramientas de administración remota del servidor instaladas .
- Prepare un VHD auxiliar en un equipo que ejecute Windows Server 2019 o posterior o Windows 10/11 con las herramientas de administración remota del servidor instaladas .
- Copia el disco duro virtual del asistente en un recurso compartido de biblioteca y actualiza el servidor de biblioteca.
- En la consola de VMM, selecciona Configuración>Configuración del servicio de protección de host.
- En la sección Disco duro virtual del asistente de blindaje, selecciona Examinar y selecciona el VHD del asistente de la lista de archivos de los recursos compartidos de biblioteca.
- Selecciona Finalizar para guardar la configuración.
Con el VHD del asistente de blindaje configurado, puedes continuar con el blindaje de una máquina virtual existente.
Pasos siguientes
Consulta Aprovisionamiento de máquinas virtuales blindadas para comprender cómo implementar máquinas virtuales blindadas en un tejido de proceso de VMM.