Udostępnij za pośrednictwem

Konfigurowanie dysku i szablonu maszyny wirtualnej w celu wdrożenia maszyn wirtualnych z osłoną

Maszyny wirtualne z osłoną są wdrażane w infrastrukturze obliczeniowej programu System Center Virtual Machine Manager (VMM) przy użyciu podpisanego twardego dysku wirtualnej maszyny (VHDX) i opcjonalnie z szablonem maszyny wirtualnej. W tym artykule opisano sposób dodawania podpisanych dysków szablonu do programu VMM, konfigurowania dysku aplikacyjnego osłony, wdrażania nowych chronionych maszyn wirtualnych oraz konwertowania istniejących maszyn wirtualnych na chronione maszyny wirtualne w programie VMM.

W tym artykule opisano sposób konfigurowania dysku szablonu z osłoną i dysku narzędziowego w programie VMM w celu aprowizowania nowych chronionych maszyn wirtualnych i konwertowania istniejących maszyn wirtualnych na chronione maszyny wirtualne.

Przed rozpoczęciem

Poniżej przedstawiono kilka zagadnień przed skonfigurowaniem dysku szablonu z zabezpieczeniem i dysku użytkowego:

  • Podpisany dysk szablonu używany do tworzenia szablonu maszyny wirtualnej z osłoną musi mieć oznaczoną rodzinę i wersję.
  • Biblioteka programu VMM, do której dodajesz podpisany dysk szablonu, musi być dostępna dla chmur, z których będą tworzone chronione maszyny wirtualne.
  • Udostępnioną bibliotekę należy dodać do chmury, z której będą udostępniane chronione maszyny wirtualne (nie w trybie tylko do odczytu).

Dodawanie podpisanych dysków szablonu dla chronionych maszyn wirtualnych do biblioteki programu VMM

Maszyny wirtualne z osłoną można wdrażać na dwa sposoby: wdrażając bezpośrednio z podpisanego dysku szablonu lub konwertując istniejącą maszynę wirtualną na maszynę wirtualną z osłoną.

Podpisane dyski szablonu zapewniają dzierżawcom, że zawartość dysku nie została zmodyfikowana i umożliwiają dzierżawcom bezpieczny transfer tajnych informacji wdrożenia, takich jak hasła administratora i certyfikaty do maszyny wirtualnej w sposób zaszyfrowany. Z tego powodu preferowane jest wdrożenie chronionych maszyn wirtualnych z podpisanymi dyskami szablonów.

Aby przygotować i dodać podpisany dysk szablonu do biblioteki programu VMM, wykonaj następujące kroki:

  1. Przygotuj podpisany dysk szablonu na maszynie z systemem Windows Server 2016 z klasycznym środowiskiem pulpitu lub Windows 10 lub Windows 11 z narzędziami zdalnej administracji serwerem zainstalowanymi.
  1. Przygotuj dysk szablonu z podpisem na maszynie z systemem Windows Server 2016 lub 2019 z Interfejsem użytkownika lub nowszym, albo Windows 10 lub Windows 11 z zainstalowanymi Narzędziami do zdalnej administracji serwera.
  1. Przygotuj podpisany dysk szablonu na maszynie z systemem Windows Server 2025, 2022 lub 2019 z funkcją Desktop Experience, lub Windows 10 lub Windows 11 z zainstalowanymi narzędziami Administracji Zdalnej Serwera.

  1. Skopiuj dysk szablonu do udziału biblioteki (\\<vmmserver>\MSSCVMMLibrary\VHDs) i odśwież serwer biblioteki domyślnie.

  2. Aby przekazać programowi VMM informacje o systemie operacyjnym na dysku szablonu, w bibliotece kliknij prawym przyciskiem myszy dysk i wybierz właściwości>.

  3. W obszarze System operacyjny wybierz system operacyjny zainstalowany na dysku. Oznacza to dla VMM, że VHDX nie jest pusty. Ikona osłony obok nazwy dysku oznacza go jako podpisany szablon dysku dla chronionych maszyn wirtualnych. Podaj informacje o rodzinie i wydaniu dysku, a także umożliw dostęp do zasobów w portalu samoobsługowym dzierżawy pakietu Azure Pack (opcjonalnie).

    Zrzut ekranu przedstawiający okno Właściwości dysku dla dysku szablonu z podpisem.

  4. Wybierz przycisk OK , aby zapisać właściwości podpisanego dysku szablonu.

Tworzenie szablonu maszyny wirtualnej z osłoną

Opcjonalnie możesz utworzyć szablon maszyny wirtualnej z osłoną przy użyciu podpisanego dysku szablonu. Szablony maszyn wirtualnych definiują zasoby maszyny wirtualnej, takie jak liczba procesorów, pamięć RAM i sieć dla dysku systemu operacyjnego.

Szablony maszyn wirtualnych z osłoną różnią się nieco od zwykłego szablonu maszyny wirtualnej. Niektóre ustawienia są stałe; na przykład maszyna wirtualna musi być maszyną wirtualną generacji 2 z włączonym bezpiecznym rozruchem.

Aby utworzyć szablon maszyny wirtualnej, wykonaj następujące kroki:

  1. Wybierz Biblioteka>Utwórz szablon maszyny wirtualnej. W obszarze Wybierz źródło wybierz pozycję Użyj istniejącego szablonu maszyny wirtualnej lub wirtualnego dysku twardego przechowywanego w bibliotece >Przeglądaj.
  2. Wybierz podpisany dysk szablonu, określ nazwę szablonu i opcjonalny opis, a następnie wybierz przycisk OK.
  3. W obszarze Konfigurowanie sprzętu określ właściwości sprzętu dla maszyn wirtualnych tworzonych na podstawie szablonu. Upewnij się, że jest skonfigurowana i dostępna co najmniej jedna karta sieciowa. Dzierżawcy łączą się z chronionymi maszynami wirtualnymi za pośrednictwem połączenia pulpitu zdalnego, zdalnego zarządzania systemem Windows lub innych narzędzi do zarządzania zdalnego, które wymagają sieci.
  4. Jeśli chcesz użyć statycznego adresowania IP w puli dzierżaw, musisz poinformować dzierżawców. Użytkownicy muszą dostarczyć plik odpowiedzi z wartościami, które dostosowują chronioną maszynę wirtualną dla nich. Istnieją specjalne, dobrze znane wartości zastępcze wymagane do obsługi pul statycznych adresów IP.
  5. W obszarze Konfigurowanie systemu operacyjnego określ wersję systemu operacyjnego, nazwę komputera, klucz produktu i strefę czasową. Najemca udostępnia bezpieczne informacje, takie jak hasło administratora w chroniącym pliku danych (.PDK), które zostaną udostępnione podczas aprowizowania nowej maszyny wirtualnej. Jeśli określisz klucz produktu, upewnij się, że jest on prawidłowy dla systemu operacyjnego na dysku szablonu. Jeśli tak nie jest, maszyna wirtualna nie będzie pomyślnie aprowizować. Po utworzeniu szablonu VM upewnij się, że jest on dostępny dla roli użytkownika Administratora dzierżawy. Dzierżawcy mogą następnie używać jej do aprowizowania nowych maszyn wirtualnych.

Konfigurowanie pomocniczego wirtualnego dysku twardego do osłony

Istniejące maszyny wirtualne z systemem Windows można również przekonwertować na chronione maszyny wirtualne przy użyciu VHD pomocniczego mechanizmu ochronnego. Dysk pomocniczy VHD to specjalny dysk przygotowany z użyciem narzędzi do szyfrowania dysku systemowego innej maszyny wirtualnej. Aby można było chronić istniejące maszyny wirtualne, program VMM musi być skonfigurowany przy pomocy pomocniczego VHD.

Aby skonfigurować pomocniczy VHD osłony, wykonaj następujące kroki:

  1. Przygotuj VHD pomocniczy na komputerze z zainstalowanym Windows Server 2016 lub Windows 10 oraz narzędziami administracji zdalnej serwera.
  1. Przygotuj wirtualny dysk twardy pomocnika na komputerze z systemem Windows Server 2019 lub nowszym lub Windows 10/11 z zainstalowanymi narzędziami administracji zdalnej serwera.
  1. Skopiuj pomocniczy VHD do lokalizacji współdzielonej biblioteki i odśwież serwer biblioteki.
  2. W konsoli programu VMM wybierz Ustawienia>Ustawienia usługi Ochrony hosta.
  3. W sekcji Wirtualnego dysku twardego pomocnika osłony wybierz pozycję Przeglądaj i wybierz dysk VHD pomocnika z listy plików w udziałach biblioteki.
  4. Wybierz pozycję Zakończ , aby zapisać konfigurację.

Po skonfigurowaniu narzędzia pomocniczego ochrony wirtualnego dysku twardego, można kontynuować osłanianie istniejącej maszyny wirtualnej.

Następne kroki

Zapoznaj się z dokumentem Provision shielded VMs, aby dowiedzieć się, jak wdrażać chronione maszyny wirtualne w infrastrukturze obliczeniowej programu VMM.