Udostępnij za pośrednictwem

Aprowizowanie hostów chronionych w programie VMM

  • Artykuł

Ważne

Ta wersja programu Virtual Machine Manager (VMM) osiągnęła koniec wsparcia. Zalecamy uaktualnienie do programu VMM 2022.

W tym artykule opisano sposób wdrażania chronionych hostów funkcji Hyper-V w sieci szkieletowej obliczeniowej programu System Center — Virtual Machine Manager (VMM). Dowiedz się więcej o chronionej sieci szkieletowej.

Istnieje kilka sposobów konfigurowania chronionych hostów funkcji Hyper-V w sieci szkieletowej programu VMM.

  • Skonfiguruj istniejący host jako host chroniony: możesz skonfigurować istniejący host do uruchamiania maszyn wirtualnych z osłoną.
  • Dodanie lub aprowizowanie nowego hosta chronionego: może to być:
    • istniejący komputer z systemem Windows Server (z rolą funkcji Hyper-V lub bez niej)
    • komputer bez systemu operacyjnego

Hosty chronione możesz skonfigurować w sieci szkieletowej programu VMM w następujący sposób:

  1. Konfigurowanie ustawień globalnych usługi HGS: program VMM połączy wszystkie hosty chronione z tym samym serwerem usługi HGS, co umożliwi pomyślną migrację maszyn wirtualnych z osłoną między hostami. Należy określić globalne ustawienia usługi HGS, które mają zastosowanie do wszystkich chronionych hostów, i można określić ustawienia specyficzne dla hosta, które zastępują ustawienia globalne. Są to następujące ustawienia:

    • Adres URL zaświadczania: adres URL używany przez hosta do łączenia się z usługą zaświadczania HGS. Ta usługa autoryzuje hosta do uruchamiania maszyn wirtualnych z osłoną.
    • Adres URL serwera ochrony klucza: adres URL używany przez hosta do pobierania klucza wymaganego do odszyfrowywania maszyn wirtualnych. Host musi przejść proces zaświadczania, aby pobrać klucze.
    • Zasady integralności kodu: zasady integralności kodu ograniczają oprogramowanie, które można uruchomić na hoście chronionym. Gdy usługa HGS jest skonfigurowana do używania zaświadczeń modułu TPM, hosty chronione muszą być skonfigurowane do używania zasad integralności kodu autoryzowanych przez serwer HGS. Możesz określić lokalizację zasad integralności kodu w programie VMM i wdrożyć je na swoich hostach. Jest to opcjonalne i nie jest wymagane do zarządzania chronioną siecią szkieletową.
    • Wirtualny dysk twardy pomocnika osłony maszyn wirtualnych: specjalnie przygotowany wirtualny dysk twardy używany do konwertowania istniejących maszyn wirtualnych na maszyny wirtualne z osłoną. To ustawienie należy skonfigurować, jeśli chcesz chronić istniejące maszyny wirtualne.

  2. Konfigurowanie chmury: jeśli host chroniony będzie należał do chmury programu VMM, należy włączyć obsługę maszyn wirtualnych z osłoną w chmurze.

Przed rozpoczęciem

Przed kontynuowaniem upewnij się, że wdrożono i skonfigurowano usługę Ochrona hosta. Dowiedz się więcej o konfigurowaniu usługi HGS z dokumentacji systemu Windows Server.

Ponadto upewnij się, że wszystkie hosty, które staną się chronionymi hostami, spełniają wymagania wstępne chronionego hosta:

  • System operacyjny: serwery hosta muszą działać w systemie Windows Server Datacenter. Zaleca się używanie serwera Server Core dla chronionych hostów.
  • Rola i funkcje: serwery hostów powinny mieć rolę funkcji Hyper-V oraz funkcję Ochrona hosta — obsługa funkcji Hyper-V. Funkcja Ochrona hosta — obsługa funkcji Hyper-V umożliwia hostowi komunikację z usługą HGS w celu zaświadczania o jego kondycji oraz żądania kluczy dla maszyn wirtualnych z osłoną. Jeśli na hoście działa system Nano Server, powinny być na nim zainstalowane pakiety Compute, SCVMM-Package, SCVMM-Compute, SecureStartup i ShieldedVM.
  • Zaświadczenie TPM: jeśli usługa HGS jest skonfigurowana do korzystania z zaświadczeń TPM, serwery hosta muszą spełniać następujące warunki:
    • Używanie interfejsu UEFI 2.3.1c i modułu TPM 2.0
    • Przeprowadzanie rozruchu w trybie UEFI (nie w trybie BIOS ani trybie starszej wersji)
    • Włączony bezpieczny rozruch
  • Rejestracja w usłudze HGS: hosty funkcji Hyper-V muszą być zarejestrowane w usłudze HGS. Sposób ich rejestracji zależy od tego, czy usługa HGS korzysta z zaświadczania usługi AD, czy modułu TPM. Dowiedz się więcej
  • Migracja na żywo: jeśli chcesz przeprowadzić migrację na żywo maszyn wirtualnych z osłoną, konieczne jest wdrożenie co najmniej dwóch hostów chronionych.
  • Domena: Hosty chronione i serwer programu VMM muszą znajdować się w tej samej domenie lub w domenach z dwukierunkową relacją zaufania.

Konfigurowanie globalnych ustawień usługi HGS

Przed dodaniem chronionych hostów do sieci szkieletowej obliczeniowej programu VMM należy skonfigurować program VMM z informacjami o usłudze Ochrona hosta (HGS) dla sieci szkieletowej. Ta sama usługa HGS będzie używana dla wszystkich hostów chronionych zarządzanych przez program VMM.

  1. Od administratora usługi HGS uzyskaj adresy URL zaświadczenia i ochrony klucza dla sieci szkieletowej.

  2. W konsoli programu VMM wybierz pozycję Ustawienia Ustawienia>usługi Ochrona hosta.

  3. Wprowadź adresy URL zaświadczenia i ochrony klucza w odpowiednich polach. Obecnie nie trzeba konfigurować zasad integralności kodu i sekcji wirtualnego dysku twardego pomocniczego osłony maszyn wirtualnych.

    Zrzut ekranu przedstawiający okno Globalne ustawienia usługi HGS.

  4. Wybierz pozycję Zakończ , aby zapisać konfigurację.

Dodawanie lub aprowizowanie nowego hosta chronionego

  1. Dodaj hosta:
  2. Przejdź do następnej sekcji, aby skonfigurować hosta jako hosta chronionego.

Konfigurowanie istniejącego hosta jako hosta chronionego

Aby skonfigurować istniejącego hosta funkcji Hyper-V zarządzanego przez program VMM tak, aby był hostem chronionym, należy wykonać następujące czynności:

  1. Przełącz hosta w tryb konserwacji.

  2. W obszarze Wszystkie hosty kliknij prawym przyciskiem myszyusługę Ochrony hostawłaściwości> hosta>.

    Zrzut ekranu przedstawiający włączanie hosta jako chronionego hosta.

  3. Wybierz opcję włączenia obsługi funkcji Hyper-V dla ochrony hosta i skonfiguruj hosta.

    Uwaga

    • Na hoście zostaną ustawione globalne adresy URL zaświadczeń oraz serwera ochrony klucza.
    • W przypadku zmodyfikowania tych adresów URL poza konsolą programu VMM należy również zaktualizować je w programie VMM. Jeśli tego nie zrobisz, program VMM nie umieści chronionych maszyn wirtualnych na hoście, dopóki adresy URL nie zostaną ponownie dopasowane. Możesz również usunąć zaznaczenie i ponownie zaznaczyć pole "Włącz", aby ponownie skonfigurować hosta przy użyciu adresów URL skonfigurowanych w programie VMM.

  4. Jeśli używasz programu VMM do zarządzania zasadami integralności kodu, możesz włączyć drugie pole wyboru i wybrać odpowiednie zasady dla systemu.

  5. Wybierz przycisk OK , aby zaktualizować konfigurację hosta.

  6. Wyłącz tryb konserwacji hosta.

Program VMM sprawdza, czy host przechodzi zaświadczenie po dodaniu go i za każdym razem, gdy stan hosta zostanie odświeżony. Program VMM wdraża i migruje maszyny wirtualne z osłoną wyłącznie na hostach, które pomyślnie przeszły proces zaświadczania. Stan zaświadczania hosta można sprawdzić w obszarzeStan właściwości>>Klient HGS Ogólnie.

Włączanie hosta chronionego w chmurze programu VMM

Włącz obsługę hostów chronionych w chmurze:

  1. W konsoli programu VMM wybierz pozycję Maszyny wirtualne i chmury usług>. Kliknij prawym przyciskiem myszy nazwę > chmury Właściwości.
  2. W obszarze Ogólna>obsługa maszyn wirtualnych z osłoną wybierz pozycję Obsługiwane w tej chmurze prywatnej.

Zarządzanie i wdrażanie zasad integralności kodu za pomocą programu VMM

W chronionych sieciach szkieletowych skonfigurowanych do używania zaświadczeń modułu TPM dla każdego hosta muszą być skonfigurowane zasady integralności kodu, które są zaufanymi zasadami Usługi Ochrona hosta. Aby ułatwić zarządzanie zasadami integralności kodu, opcjonalnie możesz użyć programu VMM do wdrażania nowych lub zaktualizowanych zasad na hostach chronionych.

Aby wdrożyć zasady integralności kodu na hoście chronionym zarządzanym przez program VMM, wykonaj następujące czynności:

  1. Utwórz zasady integralności kodu dla każdego hosta odniesienia w danym środowisku. Dla każdego unikatowego sprzętu i konfiguracji oprogramowania chronionych hostów potrzebne będą inne zasady ciągłej integracji.
  2. Zapisz zasady integralności kodu w zabezpieczonym udziale plików. Konta komputerów dla każdego hosta chronionego wymagają dostępu do odczytu do udziału. Tylko zaufani administratorzy powinni mieć dostęp do zapisu.
  3. W konsoli programu VMM wybierz pozycję Ustawienia Ustawienia>usługi Ochrona hosta.
  4. W sekcji Zasady integralności kodu wybierz pozycję Dodaj i określ przyjazną nazwę oraz ścieżkę do zasad ciągłej integracji. Powtórz tę czynność dla wszystkich unikatowych zasad integralności kodu. Upewnij się, że zasady zostaną nazwane w sposób, który pomoże określić, które zasady powinny być stosowane do których hostów. Zrzut ekranu przedstawiający dodawanie zasad integralności kodu.
  5. Wybierz pozycję Zakończ , aby zapisać konfigurację.

Teraz dla każdego hosta chronionego wykonaj następujące czynności, aby zastosować zasady integralności kodu:

  1. Przełącz hosta w tryb konserwacji.

  2. W obszarze Wszystkie hosty kliknij prawym przyciskiem myszyusługę Ochrony hostawłaściwości> hosta>.

    Zrzut ekranu przedstawiający stosowanie zasad integralności kodu.

  3. Włącz opcję konfiguracji hosta za pomocą zasad integralności kodu, a następnie wybierz odpowiednie zasady dla systemu.

  4. Wybierz przycisk OK , aby zastosować zmianę konfiguracji. Host może uruchomić się ponownie, aby zastosować nowe zasady.

  5. Wyłącz tryb konserwacji hosta.

Ostrzeżenie

Upewnij się, że wybrano prawidłowe zasady integralności kodu dla hosta. Jeśli dla hosta zostaną zastosowane niezgodne zasady, niektóre aplikacje, sterowniki lub składniki systemu operacyjnego mogą przestać działać.

Jeśli zaktualizujesz zasady integralności kodu w udziale plików i chcesz również zaktualizować hosty chronione, możesz to zrobić, wykonując następujące czynności:

  1. Przełącz hosta w tryb konserwacji.
  2. W obszarze Wszystkie hosty kliknij prawym przyciskiem myszy hosta >Zastosuj najnowsze zasady integralności kodu.
  3. Wyłącz tryb konserwacji hosta.

Następne kroki