Configurer des URL de secours HGS dans VMM

Cet article explique comment définir les URL de repli du Host Guardian Service (HGS) dans les paramètres globaux de System Center Virtual Machine Manager (VMM). Pour plus d'informations sur les tissus protégés, consultez cet article.

Au cœur de la fourniture de services d’attestation et de protection des clés pour exécuter des VMs sécurisées sur des hôtes Hyper-V, le service gardien d'hôte (SGH) doit fonctionner même en cas de sinistre.

Avec la fonctionnalité de configuration de fallback HGS dans VMM, un hôte protégé peut être configuré avec une paire primaire et secondaire d'URL HGS (un URI d’attestation et de protection de clé). Cette fonctionnalité permet des scénarios, tels que des déploiements de structure protégée couvrant deux centres de données à des fins de récupération d’urgence, HGS s’exécutant en tant que machines virtuelles protégées, etc.

Les URL HGS primaires seront toujours utilisées en faveur de la base de données secondaire. Si le SGH principal ne répond pas après le délai d’expiration et le nombre de nouvelles tentatives appropriés, l’opération est réattempée sur le serveur secondaire. Les opérations suivantes favoriseront toujours le principal ; la base de données secondaire est utilisée uniquement lorsque le serveur principal échoue.

Avant de commencer

Avant de configurer les URL de secours HGS dans VMM, vérifiez que vous avez déployé et configuré le service Guardian hôte. En savoir plus sur la configuration du SGH.

Configurer le SGH de secours

Pour configurer le SGH de secours, procédez comme suit :

1. Accédez aux paramètres VMM>Paramètres généraux>Paramètres du service Guardian de l’hôte. Sur la page Paramètres du service Host Guardian, vous voyez une section pour les configurations de secours.

2. Définissez les URL HGS principales et de secours, et sélectionnez Terminer.

   

3. Activez les URL de secours sur l'hôte en accédant à Propriétés de l'Hôte>Host Guardian Service. Sélectionnez Activer la prise en charge de l’hôte Guardian Hyper-V, utilisez les URL configurées comme paramètres globaux dans VMM, puis sélectionnez OK.

   Remarque

   Après cette étape, le service VMM configure les hôtes pris en charge avec des URL HGS principales et de secours. Seuls les hôtes sur Windows Server 1709 et versions ultérieures prennent en charge les URL SGH de secours.

Mises à jour des commandes PowerShell

Pour utiliser les mises à jour de commande PowerShell, procédez comme suit :

1. Les deux paramètres suivants sont ajoutés à la commande PowerShell Set-SCVMHost existante :

   • AttestationFallbackServerUrl
   • KeyProtectionFallbackServerUrl

   Voici l’exemple de syntaxe.

   
   Set-SCVMHost [-VMHost] <Host> [-ApplyLatestCodeIntegrityPolicy] [-AttestationServerUrl <String>]        [-AttestationFallbackServerUrl <String>]
   [-AvailableForPlacement <Boolean>] [-BMCAddress <String>]
   [-BMCCustomConfigurationProvider <ConfigurationProvider>] [-BMCPort <UInt32>]
   [-BMCProtocol <OutOfBandManagementType>] [-BMCRunAsAccount <RunAsAccount>] [-BaseDiskPaths <String>]
   [-BypassMaintenanceModeCheck] [-CPUPercentageReserve <UInt16>] [-CodeIntegrityPolicy <CodeIntegrityPolicy>]
   [-Custom1 <String>] [-Custom10 <String>] [-Custom2 <String>] [-Custom3 <String>] [-Custom4 <String>]
   [-Custom5 <String>] [-Custom6 <String>] [-Custom7 <String>] [-Custom8 <String>] [-Custom9 <String>]
   [-Description <String>] [-DiskSpaceReserveMB <UInt64>] [-EnableLiveMigration <Boolean>]
   [-FibreChannelWorldWideNodeName <String>] [-FibreChannelWorldWidePortNameMaximum <String>]
   [-FibreChannelWorldWidePortNameMinimum <String>] [-IsDedicatedToNetworkVirtualizationGateway <Boolean>]
   [-JobGroup <Guid>] [-JobVariable <String>] [-KeyProtectionServerUrl <String>] [-KeyProtectionFallbackServerUrl <String>] [-LiveMigrationMaximum <UInt32>]
   [-LiveStorageMigrationMaximum <UInt32>] [-MaintenanceHost <Boolean>] [-ManagementAdapterMACAddress <String>]
   [-MaxDiskIOReservation <UInt64>] [-MemoryReserveMB <UInt64>]
   [-MigrationAuthProtocol <MigrationAuthProtocolType>]
   [-MigrationPerformanceOption <MigrationPerformanceOptionType>] [-MigrationSubnet <String[]>]
   [-NetworkPercentageReserve <UInt16>] [-NumaSpanningEnabled <Boolean>] [-OverrideHostGroupReserves <Boolean>]
   [-PROTipID <Guid>] [-RemoteConnectCertificatePath <String>] [-RemoteConnectEnabled <Boolean>]
   [-RemoteConnectPort <UInt32>] [-RemoveRemoteConnectCertificate] [-RunAsynchronously] [-SMBiosGuid <Guid>]
   [-SecureRemoteConnectEnabled <Boolean>] [-UseAnyMigrationSubnet <Boolean >]
   [-VMHostManagementCredential <VMMCredential>] [-VMPaths <String>] [<CommonParameters>]
   

2. Le paramètre suivant est ajouté à Get-SCGuardianConfiguration pour permettre à l’utilisateur de spécifier à partir de quel HGS les métadonnées doivent être récupérées.

   [-Guardian {Primary | Secours}]

   Syntaxe

   Get-SCGuardianConfiguration [-Guardian {Primary | Fallback}] [-OnBehalfOfUser <String>] [-OnBehalfOfUserRole <UserRole>] [-VMMServer <ServerConnection>] [<CommonParameters>]
   

Étapes suivantes

• Déployez le service Guardian hôte (SGH).
• Gérer le SGH .
• Configurez un SGH de secours pour une filiale.