VMM ファブリックで Linux のシールドされた仮想マシンをプロビジョニングする
重要
このバージョンの Virtual Machine Manager (VMM) はサポート終了に達しました。 VMM 2022 にアップグレードすることをお勧めします。
この記事では、System Center - Virtual Machine Manager (VMM) でシールドされた Linux 仮想マシン (VM) をデプロイする方法について説明します。
Linux VM をシールドする手順
Windows Server 2016 には、Windows OS ベースの仮想マシンに関してシールドされた VM という概念が導入されました。 VM データが使用されていないときや、信頼されていないソフトウェアが Hyper-V ホスト上で実行されているときに、シールドされた VM によって悪意のある管理者アクションから保護できます。 詳細については、こちらを参照してください。
Windows Server バージョン 1709 では、シールドされた Linux VM のプロビジョニングのサポートが Hyper-V に導入されました。 このサポートは、VMM 1801 で使用できます。
Linux VM のシールド
- 署名されたテンプレート ディスクを作成します。
- VMM でシールドされた Linux VM のテンプレートを作成します。
- シールド データ ファイル (PDK) を生成します。
- VM テンプレートと PDK を使ってシールドされた Linux VM を作成します。
Note
ワイヤレス アプリケーション プロトコル (WAP) を使う場合は、シールドされた Windows VM をプロビジョニングするのと同じ方法でシールドされた Linux VM をプロビジョニングできます。
テンプレート ディスクを準備する
以下の手順に従ってテンプレート ディスクを作成します。
手順の「Preparing a Linux Image (Linux イメージの準備)」セクションで、lsvmtools をインストールする前に、VMM 特殊化エージェントをインストールします。
テンプレート ディスクの署名
証明書を作成します。 自己署名証明書はテストに使用できます。
次のサンプル コマンドレットを使用します。
$cert = New-SelfSignedCertificate -DnsName '<<signing.contoso.com>>'
Windows Server 1709 コンピューターを使用して、ディスクに署名します。 次のサンプル コマンドレットを使用します。
Protect-TemplateDisk -Path "<<Path to the VHDX>>" -TemplateName "<<Template Name>>" -Version <<x.x.x.x>> -Certificate $cert -ProtectedTemplateTargetDiskType PreprocessedLinux
テンプレート ディスクと署名されたイメージを VMM ライブラリにコピーします。
VMM での Linux のシールドされた VM テンプレートの作成
VMM コンソール ライブラリで、[VM テンプレートの作成] を選択します。
[ソースの選択] で [Use an existing VM template](既存の VM テンプレートを使用する) を選択します。 参照して VMM ライブラリに追加した署名されたテンプレート ディスクを選択します。 次に、 [次へ] を選択します。
[ハードウェアの構成] で次の操作を行います:
[ファームウェア] の下の [Enable secure boot](セキュア ブートを有効にする) を選択します。 [セキュア ブート テンプレート] ドロップダウン メニューから、[OpenSourceShieldedVM] を選択します。
Note
このブート テンプレートは、RS3 ホストに新たに追加されました。 VMM に RS3 ホストがない場合、このオプションは [セキュア ブート テンプレート] メニューに表示されません。
プロセッサ、メモリ、VM ネットワークなど、他のハードウェア プロパティに必要な構成を選択します。
オペレーティング システムの構成:
[ゲスト OS プロファイル] として [Linux オペレーティング システムのカスタマイズ設定の新規作成] を選択します。
先ほど作成したテンプレート ディスク上の OS を選択します (Ubuntu Linux)。
[次へ] を選択します。
[概要] で詳細を確認し、[Create to finish generation of Linux shielded VM template in VMM](作成して VMM でのシールドされた Linux VM のテンプレートの生成を完了する) をクリックします。
シールド データ ファイルを生成する
シールド データ ファイル (PDK) を生成する前に:
PDK を生成するには、Windows Server バージョン 1709 を稼働しているサーバー上で次のサンプル スクリプトを実行します。
# Create a VolumeSignatureCatalog file for the template disk to ensure that no one tampers with the template disk at the deployment time
# Create an owner certificate
$Owner = New-HgsGuardian –Name '<<Owner>>' –GenerateCertificates
# Import the HGS guardian
$Guardian = Import-HgsGuardian -Path <<Import the xml from pre-step 1>> -Name '<<Name of the guardian>>' –AllowUntrustedRoot
# Create the PDK file on a server running Windows Server version 1709
New-ShieldingDataFile -ShieldingDataFilePath '<<Shielding Data file path>>' -Owner $Owner –Guardian $guardian –VolumeIDQualifier (New-VolumeIDQualifier -VolumeSignatureCatalogFilePath '<<Path to the .vsc file generated in pre-step 2>>' -VersionRule Equals) -AnswerFile '<<Path to LinuxOsConfiguration.xml>>' -policy Shielded
VM テンプレートと PDK を使ってシールドされた Linux VM を作成する
VMM コンソールで [バVirtual Machine の作成] を選択します。
[既存の仮想マシン、VM テンプレート、またはバーチャル ハード ディスクを使用する] を選択します。
[Linux shielded VM template](シールドされた Linux VM テンプレート)[次へ] の順に選択します。
VM の名前を指定して、[次へ] を選択します。
[ ハードウェアの構成] で、詳細がテンプレート設定と一致していることを確認します。 次に、[次へ] を選択します。
[オペレーティング システムの構成] 設定の詳細が、テンプレートを作成したときに行った設定と一致していることを確認します。 次に、[次へ] を選択します。
作成したシールド データ ファイル (PDK) を選択します。
宛先ホスト グループを選択し、[ 次へ] を選択します。
VMM の配置エンジンによって指定された評価に基づいて、ホストを選択します。 次に、[次へ] を選択します。
[設定の構成] で仮想マシンの設定を確認して、[次へ] を選択します。
[プロパティの追加] でアクションを確認して、[次へ] を選択します。
シールドされた Linux VM を作成するには、[作成] を選択します。
VM のプロビジョニング中に、VMM 特殊化エージェントにより Linux 構成ファイルの PDK を読み取り、VM をカスタマイズします。
次の手順
- 保護されたファブリックとシールドされた VM の概要を確認します。
- シールドされた Linux VM のツールについてさらに調べます。
フィードバック
https://aka.ms/ContentUserFeedback」を参照してください。
以下は間もなく提供いたします。2024 年を通じて、コンテンツのフィードバック メカニズムとして GitHub の issue を段階的に廃止し、新しいフィードバック システムに置き換えます。 詳細については、「フィードバックの送信と表示