Aprovisionar máquinas virtuales blindadas en el tejido de VMM

En este artículo se describe cómo implementar máquinas virtuales blindadas en el tejido de proceso de System Center - Virtual Machine Manager (VMM).

Puede implementar máquinas virtuales blindadas en VMM de dos maneras:

• Convierta una máquina virtual existente en una máquina virtual blindada.
• Cree una nueva máquina virtual blindada mediante un disco duro de máquina virtual firmado (VHDX) y, opcionalmente, una plantilla de máquina virtual.

Nota

Puede experimentar problemas al implementar una máquina virtual blindada a través de una red con un equilibrador de carga o un dispositivo de optimización WAN. Es necesario que el paquete no se modifique durante el tránsito para que las máquinas virtuales blindadas se implementen correctamente.

Antes de empezar

Vea un vídeo que proporciona información general rápida (2 minutos) sobre el aprovisionamiento de máquinas virtuales blindadas en VMM. A continuación, asegúrese de que ha realizado lo siguiente:

1. Preparar un servidor HGS: debe tener un servidor HGS implementado. Más información.

2. Configurar VMM: necesitará configurar los valores globales de HGS en VMM, y configurar al menos un host protegido. Si los hosts protegidos pertenecen a una nube, esta debe habilitarse para admitir las máquinas virtuales blindadas. Más información.

3. Preparar una plantilla de máquina virtual y VHDX blindada: debe implementar máquinas virtuales blindadas desde un disco duro virtual blindado (VHDX) y, opcionalmente, usar una plantilla de máquina virtual. Más información sobre cómo prepararlos.

   Nota

   No se puede usar una plantilla de servicio para crear una VM blindada. Utilice un script en su lugar.

4. Preparar archivos de datos blindados: para usar los discos de plantilla firmados de la biblioteca VMM, los inquilinos deben preparar uno o más archivos de datos de blindaje. Este archivo contiene todos los secretos que un inquilino necesita para implementar una máquina virtual, incluido el archivo desatendido que se usa para especializar las contraseñas de la máquina virtual, los certificados y la cuenta de administrador. El archivo también especifica el tejido protegido en el que confía el inquilino para hospedar su máquina virtual, e información sobre los discos de plantilla firmados. El archivo está cifrado y solo puede leerse con un host en un tejido protegido de confianza para el inquilino. Más información.

5. Configurar un grupo host: para una administración sencilla, se recomienda colocar los hots protegidos en un grupo host de VMM dedicado.

6. Comprobar los requisitos de máquina virtual existentes: si quiere convertir una máquina virtual existente en una blindada, tenga en cuenta lo siguiente:

   • La máquina virtual debe ser de segunda generación y tener habilitada la plantilla de arranque seguro de Microsoft Windows.
   • El sistema operativo del disco debe ser:
     • Windows Server 2022, Windows Server 2019, Windows Server 2016
     • Windows 11, Windows 10
   • El disco del sistema operativo de la máquina virtual debe usar la tabla de particiones GUID. Esto es necesario para que las máquinas virtuales de generación 2 admitan UEFI.

7. Configurar VHD del asistente: el proveedor de servicios de hospedaje tendrá que crear una máquina virtual que actúe como VHD auxiliar para convertir las máquinas existentes. Más información.

Adición de archivos de datos de blindaje a VMM

Antes de convertir una máquina virtual existente en una máquina virtual blindada, o de aprovisionar una nueva máquina virtual blindada desde una plantilla, el propietario de la máquina virtual debe generar un archivo de datos de blindaje y agregarlo a VMM.

Si aún no tiene un archivo de datos de blindaje importado, complete los pasos siguientes:

1. Cree un archivo de datos de blindaje si aún no tiene uno. Asegúrese de que el archivo de datos de blindaje autoriza al tejido de hospedaje que VMM administra para ejecutar las máquinas virtuales blindadas.
2. En la consola VMM, seleccione Biblioteca> Import Shielding Data >Browse (Examinar datosde importación de blindaje debiblioteca) y seleccione el archivo de datos de blindaje.
3. Especifique un nombre descriptivo para el archivo de datos de blindaje en Nombre y, opcionalmente, agregue una descripción. Se recomienda indicar si el archivo de datos de blindaje está pensado para su uso con las máquinas virtuales existentes o nuevas en su nombre para facilitar la búsqueda de nuevo.
4. Seleccione Importar para guardar los datos de blindaje en VMM.

Para administrar los archivos de datos de blindaje importados, vaya a BibliotecaDatos de blindaje de VM (en "Perfiles").

Aprovisionar una nueva máquina virtual blindada

1. Asegúrese de que tiene todos los requisitos previos antes de empezar.
2. En Máquinas virtuales y servicios, seleccione Crear máquina virtual para abrir el Asistente para crear máquina virtual.
3. En Seleccionar origen, seleccione Usar una máquina virtual existente, una plantilla de máquina virtual o un disco> duro virtualExaminar.
4. Seleccione una plantilla de máquina virtual blindada o un disco de plantilla firmada. Ambos se identifican mediante el icono .
5. En Seleccionar archivo de datos de blindaje, seleccione Examinar y seleccione un archivo de datos de blindaje. Se mostrarán solo los archivos de datos de blindaje que pueden usarse para crear una nueva máquina virtual blindada. Seleccione Aceptar>Siguiente para continuar.
6. Siga estas instrucciones para completar el asistente y para implementar la máquina virtual en un host o nube.

Cuando complete el asistente, VMM crea una nueva máquina virtual blindada desde el disco o la plantilla:

1. El archivo de disco de plantilla (VHDX) se copia desde la biblioteca VMM
2. El aprovisionamiento de la máquina virtual descifra los datos del archivo de datos de blindaje, completa cualquier cadena de sustitución del archivo .xml desatendido y copia archivos adicionales desde el archivo de datos de blindaje a la unidad del sistema operativo (por ejemplo, el certificado RDP).
3. La máquina virtual se reinicia, se personaliza y se vuelve a cifrar con BitLocker. La clave de cifrado de volumen completo de BitLocker se almacena en el TMP virtual de la nueva máquina virtual.
4. La personalización de la máquina virtual se completa cuando se ejecuta el comando shutdown en el archivo unattend.xml; la máquina virtual permanece desactivada. Si se bloquea la personalización, compruebe el archivo unattend.xml mediante su ejecución en una máquina virtual no blindada, o mediante un archivo de datos de blindaje compatible con cifrado que permita el acceso a la consola.
5. Después de que VMM detecta que la especialización ha finalizado, actualiza su estado para indicar que la máquina virtual se ha creado y, si se selecciona, se inicia la máquina virtual.

Blindaje de una máquina virtual existente

Puede habilitar el blindaje de una máquina virtual que se está ejecutando en estos momentos en un host en el tejido de VMM que no está protegido.

1. Asegúrese de que tiene todos los requisitos previos implementados antes de empezar.
2. Deje sin conexión la máquina virtual.
3. Se recomienda que habilite BitLocker en todos los discos conectados a la máquina virtual antes de moverla al host protegido.
4. Seleccione la máquina virtual >>>> y seleccione un archivo de datos de blindaje.
5. Apague la máquina virtual, expórtela desde el host no protegido e impórtela a un host protegido. Solo un host protegido puede tener acceso a los datos de la máquina virtual.

Pasos siguientes

Vea Administrar la configuración de la máquina virtual para obtener información sobre cómo configurar opciones de rendimiento y disponibilidad para máquinas virtuales.