Compartir a través de

Aprovisionamiento de una máquina virtual blindada en el tejido de VMM

  • Artículo

En este artículo, se describe cómo implementar máquinas virtuales blindadas en el tejido de proceso de System Center Virtual Machine Manager (VMM).

Puedes implementar máquinas virtuales blindadas en VMM de dos maneras:

  • Convierte una VM existente en una VM blindada.
  • Crea una nueva VM blindada mediante un disco duro de máquina virtual firmado (VHDX) y, opcionalmente, una plantilla de VM.

Nota:

Puedes experimentar problemas al implementar una máquina virtual blindada a través de una red con un equilibrador de carga o un dispositivo de optimización WAN. Es necesario que el paquete no se modifique durante el tránsito para que las VM blindadas se implementen correctamente.

Antes de comenzar

Mira este vídeo que proporciona información general rápida en dos minutos sobre el aprovisionamiento de VM blindadas en VMM. Luego, asegúrate de que has hecho lo siguiente:

  1. Preparar un servidor HGS: debes tener implementado un servidor HGS. Más información.

  2. Configuración de VMM: debes configurar las opciones globales de HGS en VMM y configurar al menos un host protegido. Si los hosts protegidos pertenecen a una nube, la nube debe habilitarse para admitir VM blindadas. Más información.

  3. Preparación de una plantilla de VM y VHDX blindada: debes implementar VM blindadas desde un disco duro virtual blindado (VHDX) y, opcionalmente, mediante una plantilla de VM. Más información sobre cómo prepararlas.

    Nota:

    No se puede usar una plantilla de servicio para crear una VM blindada. Usa un script en su lugar.

  4. Preparación de los archivos de datos de blindaje: para usar los discos de plantilla firmados de la biblioteca VMM, debes preparar uno o más archivos de datos de blindaje. Este archivo contiene todos los secretos que un inquilino necesita para implementar una VM, incluido el archivo desatendido que se usa para especializar las contraseñas de la VM, los certificados y la cuenta de administrador. El archivo también especifica qué tejido protegido confía un inquilino para hospedar su VM e información sobre los discos de plantilla firmados. El archivo está cifrado y solo un host puede leerlo en un tejido protegido de confianza para el inquilino. Más información.

  5. Configuración del grupo host: para facilitar la administración, se recomienda colocar los hosts protegidos en un grupo host de VMM dedicado.

  6. Comprobación de los requisitos de VM existentes: si deseas convertir una VM existente en blindada, ten en cuenta lo siguiente:

    • La VM debe ser de generación 2 y tener habilitada la plantilla de arranque seguro de Microsoft Windows
    • El sistema operativo del disco debe ser uno de los siguientes:
    • Windows Server 2016, Windows Server 2012 R2, Windows Server 2012
    • Windows 10, Windows 8.1, Windows 8
    • El disco del sistema operativo de la VM debe usar la tabla de particiones GUID. Esto es necesario para que las VM de generación 2 admitan UEFI.
    • La VM debe ser de generación 2 y tener habilitada la plantilla de arranque seguro de Microsoft Windows
    • El sistema operativo del disco debe ser uno de los siguientes:
    • Windows Server 2016, Windows Server 2012 R2, Windows Server 2012
    • Windows 10
    • El disco del sistema operativo de la VM debe usar la tabla de particiones GUID. Esto es necesario para que las VM de generación 2 admitan UEFI.
    • La VM debe ser de generación 2 y tener habilitada la plantilla de arranque seguro de Microsoft Windows
    • El sistema operativo del disco debe ser uno de los siguientes:
      • Windows Server 2022, Windows Server 2019, Windows Server 2016
      • Windows 11, Windows 10
    • El disco del sistema operativo de la VM debe usar la tabla de particiones GUID. Esto es necesario para que las VM de generación 2 admitan UEFI.
    • La máquina virtual debe ser de generación 2 y tener habilitada la plantilla de arranque seguro de Microsoft Windows
    • El sistema operativo del disco debe ser uno de los siguientes:
      • Windows Server 2025, Windows Server 2022, Windows Server 2019
      • Windows 11, Windows 10
    • El disco del sistema operativo de la VM debe usar la tabla de particiones GUID. Esto es necesario para que las máquinas virtuales de generación 2 admitan UEFI.

  7. Configuración del VHD asistente: el proveedor de servicios de hospedaje deberá crear una VM que actúe como un VHD asistente para convertir las máquinas existentes. Más información.

Adición de archivos de datos de blindaje a VMM

Para poder convertir una VM existente en una VM blindada o aprovisionar una nueva VM blindada desde una plantilla, el propietario de la VM debe generar un archivo de datos de blindaje y agregarlo a VMM.

Si aún no tienes importado un archivo de datos de blindaje, completa los pasos siguientes:

  1. Crea un archivo de datos de blindaje si aún no tiene uno. Asegúrate de que el archivo de datos de blindaje autoriza al tejido de hospedaje que VMM administra para ejecutar tus VM blindadas.
  2. En la consola de VMM, selecciona Biblioteca>Importar datos de blindaje>Examinar y selecciona el archivo de datos de blindaje.
  3. Especifica un nombre descriptivo para el archivo de datos de blindaje en Nombre y, opcionalmente, agrega una descripción. Se recomienda indicar si el archivo de datos de blindaje está pensado para su uso con las VM existentes o nuevas en su nombre para facilitar la búsqueda de nuevo.
  4. Selecciona Importar para guardar los datos de blindaje en VMM.

Para administrar los archivos de datos de blindaje importados, ve a Biblioteca>Datos de blindaje de VM (en Perfiles).

Aprovisiona la nueva VM blindada.

  1. Antes de comenzar, asegúrate de que cumples estos requisitos previos:
  2. En VM y servicios, selecciona Crear máquina virtual para abrir el Asistente para crear máquinas virtuales.
  3. En Seleccionar origen, selecciona Usar una máquina virtual, una plantilla de VM o un disco duro virtual existentes>Examinar.
  4. Selecciona una plantilla de VM blindada o un disco de plantilla firmada. Ambos están identificados con el icono de escudo Imagen del icono de escudo en VMM..
  5. En Seleccionar archivo de datos de blindaje, selecciona Examinar y selecciona un archivo de datos de blindaje. Solo se mostrarán los archivos de datos de blindaje que se pueden usar para crear una nueva VM blindada. Selecciona Aceptar>Siguiente para continuar.
  6. Sigue estas instrucciones para completar el asistente e implementar la VM en un host o en la nube.

Cuando completes el asistente, VMM crea una nueva VM blindada a partir del disco o plantilla:

  1. El archivo de disco de plantilla (VHDX) se copia de la biblioteca VMM.
  2. El aprovisionamiento de VM descifra los datos del archivo de datos de blindaje, completa las cadenas de sustitución del archivo unattend.xml y copia archivos adicionales del archivo de datos de blindaje a la unidad del sistema operativo (por ejemplo, el certificado RDP).
  3. La VM se reinicia, se personaliza y se vuelve a cifrar con BitLocker. La clave de cifrado de volumen completo de BitLocker se almacena en el TPM virtual de la nueva VM.
  4. La personalización de la VM se completa cuando se ejecuta el comando shutdown en el archivo unattend.xml y la VM permanece desactivada. Si la personalización se queda bloqueada, comprueba el archivo unattend.xml ejecutándolo en una VM no blindada o mediante un archivo de datos de blindaje compatible con cifrado que permita el acceso a la consola.
  5. Una vez que VMM detecta que la especialización ha finalizado, actualizará su estado para indicar que se crea la VM y, si está seleccionada, inicia la VM.

Blindaje de una máquina virtual existente

Puedes habilitar el blindaje para una VM que se ejecuta actualmente en un host en el tejido de VMM que no está protegido.

  1. Antes de comenzar, asegúrate de que dispones de estos requisitos previos.
  2. Desconecta la VM.
  3. Se recomienda habilitar BitLocker en todos los discos conectados a la VM antes de moverla al host protegido.
  4. Selecciona la VM >Propiedades>Blindar y, después, un archivo de datos de blindaje.
  5. Apaga la VM, exporta desde el host no protegido e impórtala a un host protegido. Solo un host protegido puede acceder a los datos de la VM.

Pasos siguientes

Consulta Administración de la configuración de la máquina virtual para obtener información sobre cómo configurar la configuración de rendimiento y disponibilidad de las VM.