Menyediakan host terjaga di VMM

Artikel ini menjelaskan cara menyebarkan host Hyper-V yang terlindungi dalam fabric komputasi System Center Virtual Machine Manager (VMM). Pelajari lebih lanjut tentang kain terlindung.

Ada beberapa cara untuk menyiapkan host Hyper-V yang terlindungi dalam jaringan VMM.

• Mengonfigurasi host yang ada untuk menjadi host yang dijaga: Anda dapat mengonfigurasi host yang ada untuk menjalankan VM terlindungi.
• Menambahkan atau memprovisikan host baru yang dijaga: Host ini bisa menjadi:
  • Komputer Windows Server yang ada (dengan atau tanpa peran Hyper-V)
  • Komputer bare-metal (tanpa sistem operasi)

Anda menyiapkan host yang dijaga di fabric VMM sebagai berikut:

1. Mengonfigurasi pengaturan HGS global: VMM menghubungkan semua host yang dijaga ke server Host Guardian Service (HGS) yang sama sehingga Anda dapat berhasil memigrasikan VM terlindung di antara host. Anda menentukan pengaturan HGS global yang berlaku untuk semua host yang dijaga, dan Anda dapat menentukan pengaturan khusus host yang mengambil alih pengaturan global. Pengaturan meliputi:

   • URL Pengesahan: URL yang digunakan host untuk terhubung ke layanan pengesahan HGS. Layanan ini mengotorisasi host untuk menjalankan VM terlindungi.
   • URL server perlindungan kunci: URL yang digunakan host untuk mengambil kunci yang diperlukan untuk mendekripsi VM. Tuan rumah harus melewati pengesahan untuk mengambil kunci.
   • Kebijakan integritas kode: Kebijakan integritas kode membatasi perangkat lunak yang dapat berjalan pada host yang dijaga. Ketika HGS dikonfigurasi untuk menggunakan pengesahan TPM, host yang dijaga harus dikonfigurasi untuk menggunakan kebijakan integritas kode yang diotorisasi oleh server HGS. Anda dapat menentukan lokasi kebijakan integritas kode di VMM dan menyebarkannya ke host Anda. Ini bersifat opsional dan tidak diperlukan untuk mengelola fabric yang dijaga.
   • VM shielding helper VHD: Virtual hard disk pembantu yang disiapkan khusus yang digunakan untuk mengonversi VM yang sudah ada menjadi VM yang dilindungi. Anda harus mengonfigurasi pengaturan ini jika Anda ingin melindungi VM yang ada.

2. Mengonfigurasi Cloud: Jika host yang dijaga akan disertakan dalam cloud VMM, Anda perlu mengaktifkan cloud untuk mendukung VM yang terlindungi.

Sebelum Memulai

Pastikan Anda telah menyebarkan dan mengonfigurasi Layanan Wali Host sebelum melanjutkan. Pelajari lebih lanjut tentang mengonfigurasi HGS dalam dokumentasi Windows Server.

Selain itu, pastikan setiap host yang akan menjadi host yang dijaga memenuhi prasyarat host yang dijaga:

• Sistem operasi: Server host harus menjalankan Pusat Data Windows Server. Disarankan untuk menggunakan Server Core untuk host yang dijaga.
• Peran dan fitur: Server host harus menjalankan peran Hyper-V dan fitur Dukungan Host Guardian Hyper-V. Dukungan Hyper-V Host Guardian memungkinkan host berkomunikasi dengan HGS untuk memverifikasi kesehatannya dan meminta kunci untuk VM yang dilindungi. Jika host Anda menjalankan Nano Server, host harus menginstal paket Compute, SCVMM-Package, SCVMM-Compute, SecureStartup, dan ShieldedVM.
• Pengesahan TPM: Jika HGS Anda dikonfigurasi untuk mendukung pengesahan TPM, server host harus:
  • Menggunakan modul UEFI 2.3.1c dan TPM 2.0
  • Boot dalam mode UEFI (bukan BIOS atau warisan mode)
  • Aktifkan Secure Boot
• Pendaftaran HGS: Host Hyper-V harus terdaftar di HGS. Bagaimana mereka terdaftar tergantung pada apakah HGS menggunakan pengesahan AD atau TPM. Pelajari lebih lanjut
• Migrasi langsung: Jika Anda ingin langsung memigrasikan VM terlindungi, Anda perlu menyebarkan dua host yang dijaga atau lebih.
• Domain: Host yang dijaga dan server VMM harus berada di domain yang sama atau di domain dengan kepercayaan dua arah.

Mengonfigurasi pengaturan global HGS

Sebelum Anda dapat menambahkan host terlindungi ke layanan komputasi VMM, Anda harus mengonfigurasi VMM dengan informasi tentang HGS untuk layanan tersebut. HGS yang sama akan digunakan untuk semua host yang dilindungi yang dikelola oleh VMM.

1. Dapatkan pengesahan dan URL perlindungan kunci untuk fabric Anda dari administrator HGS.

2. Di konsol VMM, pilih Pengaturan>Pengaturan Layanan Host Guardian.

3. Masukkan URL pengesahan dan perlindungan kunci di bidang masing-masing. Anda tidak perlu mengonfigurasi kebijakan integritas kode dan bagian VM shielding helper VHD saat ini.
   
   

4. Pilih Selesai untuk menyimpan konfigurasi.

Menambahkan atau memprovisikan host baru yang dijaga

1. Tambahkan host:
   • Jika Anda ingin menambahkan server yang ada yang menjalankan Windows Server sebagai host Hyper-V yang dijaga, menambahkannya ke fabric.
   • Jika Anda ingin menyediakan host Hyper-V menggunakan komputer bare-metal, ikuti prasyarat dan petunjuk berikut ini.

     Nota

     Anda dapat menyebarkan host sebagai terjaga saat memprovisikannya (Tambah Resource Wizard >Pengaturan OS>Konfigurasikan sebagai host yang terjaga).

2. Lanjutkan ke bagian berikutnya untuk mengonfigurasi host sebagai host yang dijaga.

Mengonfigurasi host yang ada untuk menjadi host yang dijaga

Untuk mengonfigurasi host Hyper-V yang ada yang dikelola oleh VMM untuk menjadi host yang dijaga, selesaikan langkah-langkah berikut:

1. Tempatkan host dalam mode pemeliharaan .

2. Di Semua Host, klik kanan host >dan pilihProperti>Host Guardian Service.

   

3. Pilih untuk mengaktifkan fitur Dukungan Hyper-V Host Guardian dan konfigurasikan host.

   Nota

   • URL server pengesahan dan perlindungan kunci global akan diatur di host.
   • Jika Anda memodifikasi URL ini di luar konsol VMM, Anda juga perlu memperbaruinya di VMM. Jika tidak, VMM tidak akan menempatkan VM terlindungi di host hingga URL cocok lagi. Anda juga dapat menghapus centang dan mencentang kembali kotak Aktifkan untuk mengonfigurasi ulang host dengan URL yang dikonfigurasi di VMM.

4. Jika Anda menggunakan VMM untuk mengelola kebijakan integritas kode, Anda dapat mengaktifkan kotak centang kedua dan memilih kebijakan yang sesuai untuk sistem.

5. Pilih OK untuk memperbarui konfigurasi host.

6. Keluarkan host dari mode pemeliharaan.

VMM memeriksa bahwa host melewati pengesahan saat Anda menambahkannya dan setiap kali status host di-refresh. VMM hanya menyebarkan dan memigrasikan VM terlindung pada host yang telah melewati pengesahan. Anda dapat memeriksa status pengesahan host di Properti >Status>Klien HGS Secara Keseluruhan.

Mengaktifkan host yang dijaga di cloud VMM

Aktifkan cloud untuk mendukung host yang dijaga:

1. Di konsol VMM, pilih VM dan Layanan>Cloud. Klik kanan nama cloud >Properti.
2. Di Dukungan VM Terlindung Umum >, pilih Didukung pada cloud privat ini .

Mengelola dan menyebarkan kebijakan integritas kode dengan VMM

Pada fabric yang terproteksi yang dikonfigurasi untuk menggunakan pengesahan TPM, setiap host harus dikonfigurasi dengan kebijakan integritas kode yang dipercaya oleh Layanan Penjaga Host. Untuk memudahkan manajemen kebijakan integritas kode, Anda dapat secara opsional menggunakan VMM untuk menyebarkan kebijakan baru atau yang diperbarui ke host yang dijaga.

Untuk menyebarkan kebijakan integritas kode ke host yang dijaga yang dikelola oleh VMM, selesaikan langkah-langkah berikut:

1. Buat kebijakan integritas kode untuk setiap host referensi di lingkungan Anda. Anda memerlukan kebijakan CI yang berbeda untuk setiap konfigurasi perangkat keras dan perangkat lunak unik dari host yang dijaga.
2. Simpan kebijakan CI dalam berbagi file yang aman. Akun komputer untuk setiap host yang dijaga memerlukan akses baca ke berkas berbagi. Hanya administrator tepercaya yang harus memiliki akses tulis.
3. Di konsol VMM, pilih Pengaturan>Pengaturan Layanan Host Guardian.
4. Di bawah bagian Kebijakan Integritas Kode, pilih Tambahkan dan tentukan nama yang mudah diingat dan jalur ke kebijakan CI. Ulangi langkah ini untuk setiap kebijakan CI unik. Pastikan untuk memberi nama kebijakan Anda dengan cara yang akan membantu Anda mengidentifikasi kebijakan mana yang harus diterapkan ke host mana.
5. Pilih Selesai untuk menyimpan konfigurasi.

Sekarang, untuk setiap host yang dijaga, selesaikan langkah-langkah berikut untuk menerapkan kebijakan integritas kode:

1. Tempatkan host dalam mode pemeliharaan .

2. Di Semua Host, klik kanan host >dan pilihProperti>Host Guardian Service.

   

3. Pilih untuk mengaktifkan opsi untuk mengonfigurasi host dengan kebijakan integritas kode. Kemudian pilih kebijakan yang sesuai untuk sistem.

4. Pilih OK untuk menerapkan perubahan konfigurasi. Host dapat memulai ulang untuk menerapkan kebijakan baru.

5. Keluarkan host dari mode pemeliharaan.

Peringatan

Pastikan Anda memilih kebijakan integritas kode yang benar untuk host. Jika kebijakan yang tidak kompatibel diterapkan ke host, beberapa aplikasi, driver, atau komponen sistem operasi mungkin tidak lagi berfungsi.

Jika Anda memperbarui kebijakan integritas kode di berbagi file dan ingin juga memperbarui host yang dijaga, Anda dapat melakukannya dengan menyelesaikan langkah-langkah berikut:

1. Tempatkan host dalam mode pemeliharaan .
2. Di Semua Host, klik kanan host >Terapkan Kebijakan Terbaru tentang Integritas Kode.
3. Keluarkan host dari mode pemeliharaan.

Langkah berikutnya

• Menyiapkan disk templat yang dilindungi, disk utilitas, dan templat VM.