Bagikan melalui


Menyediakan host yang dijaga di VMM

Penting

Versi Virtual Machine Manager (VMM) ini telah mencapai akhir dukungan. Kami menyarankan Anda untuk meningkatkan ke VMM 2022.

Artikel ini menjelaskan cara menyebarkan host Hyper-V yang dijaga di fabric komputasi System Center - Virtual Machine Manager (VMM). Pelajari selengkapnya tentang fabric yang dijaga.

Ada beberapa cara untuk mengatur host Hyper-V yang dijaga dalam kain VMM.

  • Mengonfigurasi host yang ada untuk menjadi host yang dijaga: Anda dapat mengonfigurasi host yang ada untuk menjalankan VM terlindungi.
  • Menambahkan atau memprovisikan host baru yang dijaga: Host ini dapat berupa:
    • Komputer Windows Server yang ada (dengan atau tanpa peran Hyper-V)
    • Komputer bare-metal

Anda menyiapkan host yang dijaga di fabric VMM sebagai berikut:

  1. Mengonfigurasi pengaturan HGS global: VMM menghubungkan semua host yang dijaga ke server HGS yang sama sehingga Anda dapat berhasil memigrasikan VM terlindungi di antara host. Anda menentukan pengaturan HGS global yang berlaku untuk semua host yang dijaga, dan Anda dapat menentukan pengaturan khusus host yang mengambil alih pengaturan global. Pengaturan meliputi:

    • URL pengesahan: URL yang digunakan host untuk terhubung ke layanan pengesahan HGS. Layanan ini mengotorisasi host untuk menjalankan VM terlindungi.
    • URL server perlindungan kunci: URL yang digunakan host untuk mengambil kunci yang diperlukan untuk mendekripsi VM. Host harus melewati pengesahan untuk mengambil kunci.
    • Kebijakan integritas kode: Kebijakan integritas kode membatasi perangkat lunak yang dapat berjalan pada host yang dijaga. Ketika HGS dikonfigurasi untuk menggunakan pengesahan TPM, host yang dijaga harus dikonfigurasi untuk menggunakan kebijakan integritas kode yang diotorisasi oleh server HGS. Anda dapat menentukan lokasi kebijakan integritas kode di VMM dan menyebarkannya ke host Anda. Ini bersifat opsional dan tidak diperlukan untuk mengelola fabric yang dijaga.
    • VM shielding helper VHD: Hard disk virtual yang disiapkan khusus yang digunakan untuk mengonversi VM yang ada menjadi VM terlindungi. Anda harus mengonfigurasi pengaturan ini jika Ingin melindungi VM yang ada.
  2. Mengonfigurasi cloud: Jika host yang dijaga akan disertakan dalam cloud VMM, Anda perlu mengaktifkan cloud untuk mendukung VM terlindungi.

Sebelum memulai

Pastikan Anda telah menyebarkan dan mengonfigurasi Layanan Wali Host sebelum melanjutkan. Pelajari selengkapnya tentang mengonfigurasi HGS dalam dokumentasi Windows Server.

Selain itu, pastikan setiap host yang akan menjadi host yang dijaga memenuhi prasyarat host yang dijaga:

  • Sistem operasi: Server host harus menjalankan Pusat Data Windows Server. Disarankan untuk menggunakan Server Core untuk host yang dijaga.
  • Peran dan fitur: Server host harus menjalankan peran Hyper-V dan fitur Dukungan Hyper-V Host Guardian. Dukungan Hyper-V Host Guardian memungkinkan host berkomunikasi dengan HGS untuk membuktikan kesehatannya dan meminta kunci untuk VM yang terlindungi. Jika host Anda menjalankan Nano Server, host harus menginstal paket Compute, SCVMM-Package, SCVMM-Compute, SecureStartup, dan ShieldedVM.
  • Pengesahan TPM: Jika HGS Anda dikonfigurasi untuk menggunakan pengesahan TPM, server host harus:
    • Menggunakan modul UEFI 2.3.1c dan TPM 2.0
    • Boot dalam mode UEFI (bukan BIOS atau mode "warisan").
    • Aktifkan Boot Aman
  • Pendaftaran HGS: Host Hyper-V harus terdaftar di HGS. Bagaimana mereka terdaftar tergantung pada apakah HGS menggunakan pengesahan AD atau TPM. Pelajari lebih lanjut
  • Migrasi langsung: Jika Anda ingin langsung memigrasikan VM terlindungi, Anda perlu menyebarkan dua host yang dijaga atau lebih.
  • Domain: Host yang dijaga dan server VMM harus berada di domain yang sama atau di domain dengan kepercayaan dua arah.

Mengonfigurasi pengaturan HGS global

Sebelum Anda dapat menambahkan host yang dijaga ke fabric komputasi VMM, Anda harus mengonfigurasi VMM dengan informasi tentang Host Guardian Service (HGS) untuk fabric. HGS yang sama akan digunakan untuk semua host yang dijaga yang dikelola oleh VMM.

  1. Dapatkan URL pengesahan dan perlindungan kunci untuk fabric Anda dari administrator HGS Anda.

  2. Di konsol VMM, pilih Pengaturan>Pengaturan Layanan Wali Host.

  3. Masukkan URL pengesahan dan perlindungan kunci di bidang masing-masing. Anda tidak perlu mengonfigurasi kebijakan integritas kode dan bagian VM shielding helper VHD saat ini.

    Cuplikan layar jendela pengaturan HGS Global.

  4. Pilih Selesai untuk menyimpan konfigurasi.

Menambahkan atau memprovisikan host baru yang dijaga

  1. Tambahkan host:
    • Jika Anda ingin menambahkan server yang ada yang menjalankan Windows Server sebagai host Hyper-V yang dijaga, tambahkan ke fabric.
    • Jika Anda ingin menyediakan host Hyper-V dari komputer bare-metal, ikuti prasyarat dan instruksi ini.

      Catatan

      Anda dapat menyebarkan host sebagai dijaga saat Anda menyediakannya (Tambahkan Pengaturan> OS Wizard > Sumber DayaKonfigurasikan sebagai host yang dijaga).

  2. Lanjutkan ke bagian berikutnya untuk mengonfigurasi host sebagai host yang dijaga.

Mengonfigurasi host yang ada untuk menjadi host yang dijaga

Untuk mengonfigurasi host Hyper-V yang ada yang dikelola oleh VMM untuk menjadi host yang dijaga, selesaikan langkah-langkah berikut:

  1. Tempatkan host dalam mode pemeliharaan.

  2. Di Semua Host, klik kanan host >Properti>Host Guardian Service.

    Cuplikan layar Aktifkan host sebagai host yang dijaga.

  3. Pilih untuk mengaktifkan fitur Dukungan Hyper-V Host Guardian dan konfigurasikan host.

    Catatan

    • PENGESAHAN global dan URL server perlindungan kunci akan diatur pada host.
    • Jika Anda memodifikasi URL ini di luar konsol VMM, Anda juga perlu memperbaruinya di VMM. Jika tidak, VMM tidak akan menempatkan VM terlindungi pada host hingga URL cocok lagi. Anda juga dapat menghapus centang dan mencentang kembali kotak "Aktifkan" untuk mengonfigurasi ulang host dengan URL yang dikonfigurasi di VMM.
  4. Jika Anda menggunakan VMM untuk mengelola kebijakan integritas kode, Anda dapat mengaktifkan kotak centang kedua dan memilih kebijakan yang sesuai untuk sistem.

  5. Pilih OK untuk memperbarui konfigurasi host.

  6. Keluarkan host dari mode pemeliharaan.

VMM memeriksa bahwa host melewati pengesahan saat Anda menambahkannya dan setiap kali status host di-refresh. VMM hanya menyebarkan dan memigrasikan VM terlindungi pada host yang telah melewati pengesahan. Anda dapat memeriksa status pengesahan host diStatus>Properti>Klien HGS Secara Keseluruhan.

Mengaktifkan host yang dijaga di cloud VMM

Aktifkan cloud untuk mendukung host yang dijaga:

  1. Di konsol VMM, pilih VM dan Services>Clouds. Klik kanan properti nama > cloud.
  2. Di dukungan General>Shielded VM, pilih Didukung di cloud privat ini.

Mengelola dan menyebarkan kebijakan integritas kode dengan VMM

Dalam kain yang dijaga yang dikonfigurasi untuk menggunakan pengesahan TPM, setiap host harus dikonfigurasi dengan kebijakan integritas kode yang dipercaya oleh Layanan Wali Host. Untuk memudahkan pengelolaan kebijakan integritas kode, Anda dapat secara opsional menggunakan VMM untuk menyebarkan kebijakan baru atau yang diperbarui ke host yang dijaga.

Untuk menyebarkan kebijakan integritas kode ke host yang dijaga yang dikelola oleh VMM, selesaikan langkah-langkah berikut:

  1. Buat kebijakan integritas kode untuk setiap host referensi di lingkungan Anda. Anda akan memerlukan kebijakan CI yang berbeda untuk setiap konfigurasi perangkat keras dan perangkat lunak unik dari host yang dijaga.
  2. Simpan kebijakan CI dalam berbagi file yang aman. Akun komputer untuk setiap host yang dijaga memerlukan akses baca ke berbagi. Hanya administrator tepercaya yang harus memiliki akses tulis.
  3. Di konsol VMM, pilih Pengaturan>Pengaturan Layanan Wali Host.
  4. Di bawah bagian Kebijakan Integritas Kode, pilih Tambahkan dan tentukan nama yang mudah diingat dan jalur ke kebijakan CI. Ulangi langkah ini untuk setiap kebijakan CI unik. Pastikan untuk memberi nama kebijakan Anda dengan cara yang akan membantu Anda mengidentifikasi kebijakan mana yang harus diterapkan ke host mana. Cuplikan layar Tambahkan kebijakan integritas kode.
  5. Pilih Selesai untuk menyimpan konfigurasi.

Sekarang, untuk setiap host yang dijaga, selesaikan langkah-langkah berikut untuk menerapkan kebijakan integritas kode:

  1. Tempatkan host dalam mode pemeliharaan.

  2. Di Semua Host, klik kanan host >Properti>Host Guardian Service.

    Cuplikan layar Terapkan kebijakan integritas kode.

  3. Pilih untuk mengaktifkan opsi untuk mengonfigurasi host dengan kebijakan integritas kode, lalu pilih kebijakan yang sesuai untuk sistem.

  4. Pilih OK untuk menerapkan perubahan konfigurasi. Host dapat memulai ulang untuk menerapkan kebijakan baru.

  5. Keluarkan host dari mode pemeliharaan.

Peringatan

Pastikan Anda memilih kebijakan integritas kode yang benar untuk host. Jika kebijakan yang tidak kompatibel diterapkan ke host, beberapa aplikasi, driver, atau komponen sistem operasi mungkin tidak lagi berfungsi.

Jika Anda memperbarui kebijakan integritas kode di berbagi file dan ingin juga memperbarui host yang dijaga, Anda dapat melakukannya dengan menyelesaikan langkah-langkah berikut:

  1. Tempatkan host dalam mode pemeliharaan.
  2. Di Semua Host, klik kanan host >Terapkan Kebijakan Integritas Kode Terbaru.
  3. Keluarkan host dari mode pemeliharaan.

Langkah berikutnya