VMM ファブリックにシールドされた仮想マシンをプロビジョニングする

この記事では、System Center - Virtual Machine Manager (VMM) コンピューティング ファブリックにシールドされた仮想マシンを展開する方法について説明します。

シールドされた VM は、次のいくつかの方法で VMM に展開できます。

• 既存の VM をシールドされた VM に変換します。
• 署名付き仮想マシン ハード ディスク (VHDX) と必要に応じて VM テンプレートを使用して、新しいシールドされた VM を作成します。

注意

ロード バランサーまたは WAN 最適化デバイスを使用したネットワーク経由でのシールドされた仮想マシンのデプロイに関する問題が発生する可能性があります。 シールドされた VM が正常にデプロイされるためには、転送中にパケットを変更しないようにする必要があります。

開始する前に

VMM にシールドされた VM のプロビジョニングを 2 分で理解できる概要のビデオを見ます。 次に、次のことを行っていることを確認します。

1. HGS サーバーを準備する: HGS サーバーが展開されている必要があります。 詳細については、こちらを参照してください。

2. VMM を設定する: VMM で、グローバル HGS 設定を構成して、保護されたホストを少なくとも 1 つ設定する必要があります。 保護されたホストがクラウドにある場合、クラウドでシールドされた VM をサポートするようにする必要があります。 詳細については、こちらを参照してください。

3. シールドされた VHDX と VM テンプレートを準備する: シールドされた仮想ハード ディスク (VHDX) からシールドされた VM をデプロイし、必要に応じて VM テンプレートを使用する必要があります。 これらの準備の詳細については、こちらを参照してください。

   Note

   サービス テンプレートを使用してシールドされた VM を作成することはできません。 代わりにスクリプトを使用します。

4. シールド データ ファイルを準備する: VMM ライブラリで署名されたテンプレート ディスクを使用するには、テナントでシールド データ ファイルを 1 つ以上準備する必要があります。 このファイルには、VM、証明書、および管理者アカウントのパスワードを特化するために使用される無人セットアップ ファイルなど、テナントが VM をデプロイするために必要なすべてのシークレットが含まれています。 このファイルには、VM のホストにテナントが信頼している保護されたファブリック、また署名されたテンプレート ディスクについての情報が指定されています。 このファイルは暗号化されており、テナントによって信頼されている保護されたファブリック内のホストからのみ読み取ることができます。 詳細については、こちらを参照してください。

5. ホスト グループを設定する: 管理を容易にするには、保護されたホストを専用の VMM ホスト グループに置くことを推奨します。

6. 既存の VM の要件を確認する: 既存の VM をシールドに変換する場合、次のことを念頭に置く必要があります。

   • VM は第 2 世代である必要があり、その Microsoft Windows セキュア ブート テンプレートを有効する必要があります。
   • ディスク上のオペレーティング システムは、次のいずれかとする必要があります。
     • Windows Server 2022、Windows Server 2019、Windows Server 2016
     • Windows 11、Windows 10
   • VM の OS ディスクでは、GUID パーティション テーブルを使用する必要があります。 第 2 世代の VM が UEFI をサポートするには、これが必要です。

7. ヘルパー VHD の設定: ホスティング サービス プロバイダーは、既存のマシンを変換するためのヘルパー VHD として機能する VM を作成する必要があります。 詳細については、こちらを参照してください。

シールド データ ファイルを VMM に追加する

既存の VM をシールドされた VM に変換する場合、またはテンプレートから新しいシールドされた VM をプロビジョニングする場合、VM 所有者は事前にシールド データ ファイルを生成し、それを VMM に追加しておく必要があります。

シールド データ ファイルがまだインポートされていない場合は、次の手順を実行します。

1. シールド データ ファイルを作成します (まだお持ちでない場合)。 シールド データ ファイルが、ホスト ファブリック VMM がシールドされた VM の実行を管理することを承認していることを確認します。
2. VMM コンソールで、[ライブラリ>] [シールド データ>のインポート][参照] の順に選択し、シールド データ ファイルを選択します。
3. [名前] にシールド データ ファイルのフレンドリ名を指定し、必要に応じて説明を加えます。 シールド データ ファイルの名前が既存の VM と新しい VM のどちらを使用するかを指定して、再び見つけやすくすることをお勧めします。
4. [ インポート] を選択して、VMM にシールド データを保存します。

インポートしたシールド データ ファイルを管理するには、[ライブラリ][VM シールド データ] ([プロファイル] の下にある) の順に進みます。

シールドされる新しい VM のプロビジョニング

1. 開始する前に、すべての前提条件が満たされていることを確認します。
2. [VM とサービス] で[仮想マシンの作成] を選択して、仮想マシンの作成ウィザードを開きます。
3. [ソースの選択] で、[既存の仮想マシン、VM テンプレート、または仮想ハード ディスク>の参照を使用する] を選択します。
4. シールドされた VM テンプレートまたは署名付きテンプレート ディスクを選択します。 どちらも、VMM のシールド アイコン 識別されます。
5. [ シールド データ ファイルの選択] で、[ 参照 ] を選択し、シールド データ ファイルを選択します。 新しいシールドされた VM の作成で使用できるシールド データ ファイルのみが表示されます。 [OK] [次へ] を選択して続行します>。
6. ウィザードを完了し、ホストまたはクラウドに VM を展開するには、これらの手順に従います。

ウィザードが完了すると、VMM によりディスクまたはテンプレートから新しいシールドされた VM が作成されます。

1. VMM ライブラリからテンプレート ディスク (VHDX) ファイルがコピーされます。
2. VM をプロビジョニングすると、シールド データ ファイルのデータが暗号化解除され、unattend.xml ファイルの代替文字列が補完され、シールド データ ファイルから (RDP 証明書など) その他のファイルがオペレーティング システム ドライブにコピーされます。
3. VM が再起動され、カスタマイズされ、BitLocker により再暗号化されます。 BitLocker のボリューム全体の暗号化キーは、新しい VM の仮想の TPM に格納されます。
4. VM のカスタマイズは、unattend.xml ファイルの shutdown コマンドが実行されるときに完了します。VM はオフのままです。 カスタマイズで停止してしまう場合は、unattend.xml ファイルを確認します。確認方法として、シールドされていない VM 上で unattend.xml を実行するか、またはコンソールでアクセスできる暗号化がサポートされたシールド データ ファイルを使用します。
5. VMM は特殊化の完了を検出すると、ステータスを更新して、VM が作成されたことを示します。VM を選択すると、起動されます。

既存の VM をシールドする

保護されていない VMM ファブリック内のホストで現在実行されている VM でシールドを有効にできます。

1. 開始する前に、すべての前提条件が満たされていることを確認します。
2. VM をオフラインにします。
3. 保護されているディスクに移動する前に、VM に接続されているすべてのディスクで、BitLocker を有効にすることをお勧めします。
4. [VM] >>>> の順に選択し、シールド データ ファイルを選択します。
5. VM をシャットダウンし、保護されていないホストからエクスポートし、保護されているホストにインポートします。 VM のデータには保護されているホストのみがアクセスできます。

次の手順

VM のパフォーマンスおよび可用性の設定を構成する方法については、「仮想マシン設定の管理」を参照してください。