次の方法で共有

VMM ファブリックで Linux のシールドされた仮想マシンをプロビジョニングする

  • [アーティクル]

この記事では、System Center Virtual Machine Manager (VMM) で Linux シールドされた仮想マシン (VM) をデプロイする方法について説明します。

Linux VM をシールドする手順

Windows Server 2016 では、Windows OS ベースの仮想マシン用のシールドされた VM の概念が導入されました。 シールドされた VM は、VM のデータが保存されている場合や、信頼されていないソフトウェアが Hyper-V ホスト上で実行されている場合に、悪意のある管理者の操作に対する保護を提供します。 詳細情報。

Windows Server バージョン 1709 では、Hyper-V は Linux シールドされた VM のプロビジョニングのサポートを導入しました。

Linux VM をシールドする

  1. 署名されたテンプレート ディスクを作成します。
  2. VMM でシールドされた Linux VM のテンプレートを作成します。
  3. シールド データ ファイル (PDK) を生成します。
  4. VM テンプレートと PDK を使用して、Linux シールドされた VM を作成します。

Note

ワイヤレス アプリケーション プロトコル (WAP) を使用する場合は、Windows シールド VM をプロビジョニングするのと同じ方法で、Linux シールドされた VM をプロビジョニングできます。

テンプレート ディスクを準備する

  1. これらの手順に従ってテンプレート ディスクを作成します。

  2. 手順の Linux イメージの準備 セクションで、lsvmtools をインストールする前に、VMM 特殊化エージェント インストールします

テンプレート ディスクに署名する

  1. 証明書を作成します。 自己署名証明書をテストに使用できます。

    次のサンプル コマンドレットを使用します。

    
 	$cert = New-SelfSignedCertificate -DnsName '<<signing.contoso.com>>'

  2. Windows Server 1709 以降のコンピューターを使用してディスクに署名します。 次のサンプル コマンドレットを使用します。

    Protect-TemplateDisk -Path "<<Path to the VHDX>>" -TemplateName "<<Template Name>>" -Version <<x.x.x.x>> -Certificate $cert -ProtectedTemplateTargetDiskType PreprocessedLinux

  3. テンプレート ディスクと署名されたイメージを VMM ライブラリにコピーします。

VMM で Linux シールドされた VM テンプレートを作成する

  1. VMM コンソール ライブラリで、[VM テンプレート 作成を選択します。

  2. ソースの選択で、既存の VM テンプレートを使用しますを選択します。 VMM ライブラリに追加した署名済みテンプレート ディスクを参照して選択します。 次に、 [次へ] を選択します。

  3. ハードウェアの構成:

    • [ Firmwareで、 セキュア ブートを選択します。 セキュア ブート テンプレートドロップダウン メニューから、OpenSourceShieldedVM を選択します。

      Note

      このブート テンプレートは、RS3 ホストへの新しい追加です。 VMM に RS3 ホストがない場合、このオプションは Secure ブート テンプレート メニューに表示されません。

    • プロセッサ、メモリ、VM ネットワークなど、他のハードウェア プロパティに必要な構成を選択します。

      Linux シールドされた VM のハードウェア構成のスクリーンショット。

  4. オペレーティング システムの構成:

    • [Create new Linux operating system customization settings]\(新しい Linux オペレーティング システムのカスタマイズ設定の作成\) ゲスト OS プロファイルを選択

    • 前に作成したテンプレート ディスク上の OS (Ubuntu Linux) を選択します。

  5. [次へ] を選択します。 VM テンプレートのオペレーティング システムの構成のスクリーンショット。

  6. Summaryで詳細を確認し、[作成] を選択して、VMM での Linux シールドされた VM テンプレートの生成を完了します

シールド データ ファイルを生成する

シールド データ ファイル (PDK) を生成する前に、

  1. ホスト ガーディアン サービス (HGS)からガーディアン メタデータを取得します。
  2. ボリューム署名カタログ (VSC) ファイルを抽出します。

PDK を生成するには、Windows Server バージョン 1709 以降を実行しているサーバーで次のサンプル スクリプトを実行します。


# Create a VolumeSignatureCatalog file for the template disk to ensure that no one tampers with the template disk at the deployment time
# Create an owner certificate
$Owner = New-HgsGuardian –Name '<<Owner>>' –GenerateCertificates

# Import the HGS guardian
$Guardian = Import-HgsGuardian -Path <<Import the xml from pre-step 1>> -Name '<<Name of the guardian>>' –AllowUntrustedRoot

# Create the PDK file on a server running Windows Server version 1709

New-ShieldingDataFile -ShieldingDataFilePath '<<Shielding Data file path>>' -Owner $Owner –Guardian $guardian –VolumeIDQualifier (New-VolumeIDQualifier -VolumeSignatureCatalogFilePath '<<Path to the .vsc file generated in pre-step 2>>' -VersionRule Equals) -AnswerFile '<<Path to LinuxOsConfiguration.xml>>' -policy Shielded

VM テンプレートと PDK を使用して Linux シールドされた VM を作成する

  1. VMM コンソールで、[仮想マシンの作成] 選択

  2. 既存の仮想マシン、VM テンプレート、または仮想ハード ディスクを使用するを選択します。

  3. Linux シールドされた VM テンプレート>Next を選択します。

    新しい仮想マシンのソースの選択

  4. VM に名前を付け、 [次へ] を選択します。

  5. ハードウェアの構成で、詳細がテンプレートの設定と一致していることを確認します。 [次へ] を選択します。

  6. オペレーティング システムの構成設定で、テンプレートの作成時に行った設定に詳細が一致していることを確認します。 [次へ] を選択します。

  7. 作成したシールド データ ファイル (PDK) を選択します。

  8. 宛先ホスト グループを選択し、 Next を選択します。

  9. VMM 配置エンジンが指定した評価でホストを選択します。 [次へ] を選択します。

  10. 構成設定で、仮想マシンの設定を確認し、 [次へ] を選択します。

  11. プロパティの追加のアクションを確認し次へを選択します。

  12. Linux シールドされた VM を作成するには、 Create を選択します。

VM のプロビジョニング中、VMM 特殊化エージェントは Linux 構成ファイル PDK を読み取り、VM をカスタマイズします。

次のステップ