Memprovisikan komputer virtual terlindungi dalam fabric VMM

  • Artikel

Penting

Versi Virtual Machine Manager (VMM) ini telah mencapai akhir dukungan. Kami menyarankan Anda untuk meningkatkan ke VMM 2022.

Artikel ini menjelaskan cara menyebarkan komputer virtual terlindungi di fabric komputasi System Center - Virtual Machine Manager (VMM).

Anda dapat menyebarkan VM terlindungi di VMM dengan beberapa cara:

  • Konversikan VM yang ada menjadi VM terlindungi.
  • Buat VM terlindung baru menggunakan hard disk komputer virtual yang ditandatangani (VHDX) dan secara opsional templat VM.

Catatan

Anda mungkin mengalami masalah saat menyebarkan komputer virtual terlindungi melalui jaringan dengan load balancer atau perangkat pengoptimalan WAN. Paket harus tidak dimodifikasi selama transit agar komputer virtual Terlindungi berhasil disebarkan.

Sebelum memulai

Tonton video yang memberikan gambaran umum singkat dan dua menit tentang penyediaan VM terlindungi di VMM. Kemudian, pastikan Anda telah melakukan hal berikut:

  1. Siapkan server HGS: Anda harus menyebarkan server HGS. Pelajari lebih lanjut.

  2. Menyiapkan VMM: Anda perlu mengonfigurasi pengaturan HGS global di VMM, dan menyiapkan setidaknya satu host yang dijaga. Jika host yang dijaga milik cloud, cloud harus diaktifkan untuk mendukung VM terlindungi. Pelajari lebih lanjut.

  3. Siapkan templat VHDX dan VM terlindungi: Anda harus menyebarkan VM terlindungi dari hard disk virtual terlindungi (VHDX), dan secara opsional menggunakan templat VM. Pelajari selengkapnya tentang menyiapkan ini.

    Catatan

    Anda tidak dapat menggunakan templat layanan untuk membuat VM terlindungi. Gunakan skrip sebagai gantinya.

  4. Menyiapkan file data perisai: Untuk menggunakan disk templat yang ditandatangani di pustaka VMM, penyewa harus menyiapkan satu atau beberapa file data perisai. File ini berisi semua rahasia yang diperlukan penyewa untuk menyebarkan VM, termasuk file tanpa pengawasan yang digunakan untuk mengkhususkan VM, sertifikat, dan kata sandi akun administrator. File ini juga menentukan fabric mana yang menjaga kepercayaan penyewa untuk menghosting VM mereka dan informasi tentang disk templat yang ditandatangani. File dienkripsi dan hanya dapat dibaca oleh host dalam fabric yang dijaga yang dipercaya oleh penyewa. Pelajari lebih lanjut.

  5. Siapkan grup host: Untuk manajemen yang mudah, sebaiknya host yang dijaga ditempatkan dalam grup host VMM khusus.

  6. Verifikasi persyaratan VM yang ada: Jika Anda ingin mengonversi VM yang ada menjadi terlindungi, perhatikan hal berikut:

    • VM harus generasi 2 dan mengaktifkan templat Boot Aman Microsoft Windows
    • Sistem operasi pada disk harus salah satu dari:
    • Windows Server 2016, Windows Server 2012 R2, Windows Server 2012
    • Windows 10, Windows 8.1, Windows 8
    • Disk OS untuk VM harus menggunakan Tabel Partisi GUID. Ini diperlukan untuk VM generasi 2 untuk mendukung UEFI.
    • VM harus generasi 2 dan mengaktifkan templat Boot Aman Microsoft Windows
    • Sistem operasi pada disk harus salah satu dari:
    • Windows Server 2016, Windows Server 2012 R2, Windows Server 2012
    • Windows 10
    • Disk OS untuk VM harus menggunakan Tabel Partisi GUID. Ini diperlukan untuk VM generasi 2 untuk mendukung UEFI.
    • VM harus generasi 2 dan mengaktifkan templat Boot Aman Microsoft Windows
    • Sistem operasi pada disk harus salah satu dari:
      • Windows Server 2022, Windows Server 2019, Windows Server 2016
      • Windows 11, Windows 10
    • Disk OS untuk VM harus menggunakan Tabel Partisi GUID. Ini diperlukan untuk VM generasi 2 untuk mendukung UEFI.

  7. Siapkan VHD pembantu: Penyedia layanan hosting perlu membuat VM yang bertindak sebagai VHD pembantu untuk mengonversi mesin yang ada. Pelajari lebih lanjut.

Menambahkan file data perisai ke VMM

Sebelum Anda dapat mengonversi VM yang ada ke VM terlindungi atau menyediakan VM terlindung baru dari templat, pemilik VM harus menghasilkan file data perisai dan menambahkannya ke VMM.

Jika Anda belum mengimpor file data perisai, selesaikan langkah-langkah berikut:

  1. Buat file data perisai jika Anda belum memilikinya. Pastikan bahwa file data perisai mengotorisasi fabric hosting yang dikelola VMM untuk menjalankan VM terlindungi Anda.
  2. Di konsol VMM, pilih Pustaka>Impor Perisai Data>Telusuri dan pilih file data perisai Anda.
  3. Tentukan nama yang mudah diingat untuk file data perisai di Nama dan secara opsional tambahkan deskripsi. Kami menyarankan agar Anda menunjukkan apakah file data perisai dimaksudkan untuk digunakan dengan VM yang ada atau baru dalam namanya untuk membuatnya lebih mudah ditemukan lagi.
  4. Pilih Impor untuk menyimpan data perisai di VMM.

Untuk mengelola file data perisai impor Anda, buka Pustaka>VM Shielding Data (di bawah "Profil").

Memprovisikan VM terlindungi baru

  1. Pastikan Anda memiliki semua prasyarat sebelum memulai.
  2. Di VM dan Layanan, pilih Buat Komputer Virtual untuk membuka Wizard Buat Komputer Virtual.
  3. Di Pilih Sumber, pilih Gunakan komputer virtual yang ada, templat VM, atauTelusuri hard disk > virtual.
  4. Pilih templat VM terlindungi atau disk templat yang ditandatangani. Keduanya diidentifikasi oleh ikon perisai Gambar Ikon Perisai di VMM..
  5. Di Pilih Melindungi File Data, pilih Telusuri dan pilih file data perisai. Hanya melindungi file data yang dapat digunakan untuk membuat VM terlindung baru yang akan ditampilkan. Pilih OK>Berikutnya untuk melanjutkan.
  6. Ikuti instruksi ini untuk menyelesaikan wizard, dan untuk menyebarkan VM di host/cloud.

Saat Anda menyelesaikan wizard, VMM membuat VM terlindung baru dari disk atau templat:

  1. File disk templat (VHDX) disalin dari pustaka VMM
  2. Provisi VM mendekripsi data dalam file data perisai, menyelesaikan string substitusi apa pun dalam file unattend.xml, dan menyalin file tambahan dari file data perisai ke drive sistem operasi (misalnya, sertifikat RDP).
  3. VM dimulai ulang, disesuaikan, dan dienkripsi ulang dengan BitLocker. Kunci enkripsi volume penuh BitLocker disimpan di TPM virtual VM baru.
  4. Kustomisasi VM selesai ketika perintah matikan dalam file unattend.xml berjalan; VM tetap dimatikan. Jika penyesuaian macet, periksa file unattend.xml dengan menjalankannya pada VM yang tidak di-shiel, atau menggunakan file data perisai yang didukung enkripsi yang memungkinkan akses konsol.
  5. Setelah VMM mendeteksi bahwa spesialisasi telah selesai, VMM akan memperbarui statusnya untuk menunjukkan VM dibuat dan, jika dipilih, memulai VM.

Melindungi VM yang ada

Anda dapat mengaktifkan perisai untuk VM yang saat ini berjalan pada host di fabric VMM yang tidak dijaga.

  1. Pastikan Anda memiliki semua prasyarat sebelum memulai.
  2. Jadikan VM offline.
  3. Kami menyarankan agar Anda mengaktifkan BitLocker pada semua disk yang terpasang pada VM sebelum memindahkannya ke host yang dijaga.
  4. Pilih VM> Properties >Shield, dan pilih file data perisai.
  5. Matikan VM, ekspor dari host yang tidak dijaga, dan impor ke host yang dijaga. Hanya host yang dijaga yang dapat mengakses data VM.

Langkah berikutnya

Tinjau Mengelola pengaturan komputer virtual untuk mempelajari cara mengonfigurasi pengaturan performa dan ketersediaan untuk VM.