Implementowanie maszyny wirtualnej z osłoną

12 minut

Jako administrator systemu Windows Server musisz zbadać i upewnić się, że rozumiesz kroki związane z tworzeniem i wdrażaniem chronionej maszyny wirtualnej.

Implementowanie chronionych maszyn wirtualnych

Poniżej przedstawiono ogólne kroki wymagane do zaimplementowania chronionych maszyn wirtualnych. Kroki obejmują niektóre kroki związane z programem VMM.

Zadanie 1. Instalowanie i konfigurowanie usługi HGS

Sprawdź wymagania wstępne usługi HGS i przygotuj środowisko do wdrożenia usługi HGS:
1. Upewnij się, że sprzęt i system operacyjny spełniają wymagania wstępne usługi HGS, zauważając, że:
  - Usługa HGS może być uruchamiana na maszynach fizycznych lub wirtualnych, ale zalecane są maszyny fizyczne.
  - Jeśli chcesz uruchomić usługę HGS jako klaster fizyczny z 3 węzłami, musisz mieć 3 serwery fizyczne.
  - Wymagania dotyczące zaświadczania:
    - Zaświadczanie klucza hosta wymaga działania systemu Windows Server 2019 w edycji Standard lub Datacenter dla atestacji w wersji 2.
    - Zaświadczenie oparte na module TPM wymaga systemu Windows Server 2019 lub Windows Server 2016, Standard lub Datacenter.
2. Zainstaluj odpowiednie role serwera HGS i skonfiguruj domenę sieci szkieletowej (hosta), aby umożliwić przekazywanie DNS między domeną sieci szkieletowej a domeną HGS.
Uwaga / Notatka

Podczas wdrażania usługi HGS zostanie wyświetlony monit o podanie certyfikatów podpisywania i szyfrowania, które są używane do ochrony poufnych informacji potrzebnych do uruchomienia chronionej maszyny wirtualnej. Zaleca się użycie zaufanego urzędu certyfikacji w celu uzyskania tych dwóch certyfikatów; można jednak używać certyfikatów z podpisem własnym. Te dwa certyfikaty zawsze pozostają na hoście usługi HGS.
Skonfiguruj pierwszy węzeł usługi HGS:
- Wybierz, czy chcesz zainstalować usługę HGS we własnym dedykowanym lesie usług AD DS, czy w istniejącym lesie bastionu.
Skonfiguruj dodatkowe węzły usługi HGS zgodnie ze środowiskiem:
1. Każdy węzeł usługi HGS będzie wymagał dostępu do tych samych certyfikatów podpisywania i szyfrowania. Zarządzaj nimi, wybierając jedną z następujących dwóch opcji:
  - Wyeksportuj certyfikaty do pliku PFX przy użyciu hasła i zezwól usłudze HGS na zarządzanie certyfikatami.
  - Zainstaluj certyfikaty w magazynie certyfikatów maszyny lokalnej na każdym węźle HGS i przekaż HGS ich odciski palców.
  Każda opcja jest prawidłowa, ale wymaga nieco innych kroków podczas dodawania węzła.
2. Dodaj dodatkowe węzły przy użyciu jednego z następujących dwóch możliwych scenariuszy:
  - Dodaj węzły HGS do nowego, dedykowanego lasu HGS.
    - Aby dodać węzły HGS do nowego dedykowanego lasu HGS z certyfikatami osobistej wymiany informacji (PFX):
      1. Promuj węzeł HGS do kontrolera domeny.
      2. Zainicjuj serwer HGS.
    - Aby dodać węzły usługi HGS do nowego dedykowanego lasu usługi HGS z odciskami palca certyfikatu:
      1. Promuj węzeł HGS do kontrolera domeny.
      2. Zainicjuj serwer HGS.
      3. Zainstaluj klucze prywatne dla certyfikatów.
  - Dodaj węzły HGS do istniejącego lasu typu bastion.
    - Aby dodać węzły usługi HGS do istniejącego lasu bastionu z certyfikatami PFX:
      1. Przyłącz węzeł do istniejącej domeny.
      2. Przyznaj maszynie prawa do pobierania hasła zarządzanego konta usługi (MSA) i uruchom polecenie Install-ADServiceAccount.
      3. Zainicjuj serwer HGS.
    - Aby dodać węzły usługi HGS do istniejącego lasu typu bastion z odciskami palca certyfikatu:
      1. Przyłącz węzeł do istniejącej domeny.
      2. Udziel maszynie praw do pobrania hasła MSA i uruchomienia Install-ADServiceAccount.
      3. Zainicjuj serwer HGS.
      4. Zainstaluj klucze prywatne dla certyfikatów.
Uwaga / Notatka

Usługa HGS używa konta usługi zarządzanego przez grupę (gMSA) jako tożsamości konta do pobierania i używania certyfikatów na wielu węzłach.

Ważne

W środowiskach produkcyjnych usługa HGS powinna być skonfigurowana w klastrze o wysokiej dostępności, aby zapewnić, że chronione maszyny wirtualne mogą być włączone, nawet jeśli węzeł usługi HGS ulegnie awarii.
Skonfiguruj DNS fabryki, aby zezwolić chronionym hostom na rozpoznawanie klastra HGS.
Sprawdź wymagania wstępne dotyczące uwierzytelniania na hostach.
1. Zapoznaj się z wymaganiami wstępnymi dotyczącymi hosta dla wybranego trybu zaświadczania: moduł TPM, klucz lub tryb administratora.
2. Dodaj hosty do usługi HGS.
Utwórz klucz hosta (tryb klucza) lub zbierz informacje o hoście (tryb TPM):
- Aby przygotować hosty Hyper-V, aby stały się chronionymi hostami przy użyciu atesty klucza hosta (tryb klucza), utwórz parę kluczy hosta (lub użyj istniejącego certyfikatu), a następnie dodaj publiczną połowę klucza do HGS.
- Aby przygotować hosty Hyper-V, aby mogły stać się chronionymi hostami przy użyciu zaświadczania w trybie TPM (tryb klucza), przechwyć identyfikator modułu TPM (klucz poręczenia), punkt odniesienia modułu TPM oraz polityki zgodności integralności.
Dodaj klucze hosta (tryb klucza) lub informacje o module TPM (tryb TPM) do konfiguracji usługi HGS.
Upewnij się, że usługa HGS potwierdza hosty jako chronione hosty.
(Opcjonalnie) Skonfiguruj fabrykę obliczeniową programu VMM do wdrażania i zarządzania hostami chronionymi Hyper-V oraz osłoniętymi maszynami wirtualnymi.

Zadanie 2. Przygotowanie pliku vhdx systemu operacyjnego

Przygotuj dysk systemu operacyjnego (plik vhdx) przy użyciu jednej z następujących opcji:
- Użyj funkcji Hyper-V, środowiska Windows PowerShell lub narzędzia DISM (Desktop Image Service Manager).
- Ręcznie skonfiguruj maszynę wirtualną z pustym plikiem vhdx i zainstaluj system operacyjny na tym dysku.
Zainstaluj najnowsze aktualizacje na dysku systemu operacyjnego, uruchamiając usługę Windows Update.

Zadanie 3. Tworzenie dysku szablonu maszyny wirtualnej z osłoną w programie VMM

Przygotuj i chroń plik vhdx przy użyciu Kreatora tworzenia dysku szablonu z osłoną.
- Aby użyć dysku szablonu z chronionymi maszynami wirtualnymi, należy przygotować dysk i zaszyfrować go za pomocą funkcji BitLocker przy użyciu Kreatora tworzenia dysku szablonu dla maszyn chronionych.
Skopiuj dysk szablonu do biblioteki programu VMM.
- Jeśli używasz programu VMM, po utworzeniu dysku szablonowego skopiuj go do udostępnionej biblioteki VMM, aby hosty mogły pobierać i używać dysku podczas tworzenia nowych chronionych maszyn wirtualnych.

Zadanie 4. Tworzenie pliku danych osłony

Przygotuj się do utworzenia pliku danych osłony (PDK):
1. Uzyskaj certyfikat dla połączenia pulpitu zdalnego.
2. Utwórz plik odpowiedzi.
3. Pobierz plik wykazu sygnatur woluminów.
4. Ustaw zaufane struktury.
Utwórz plik danych osłony.
Dodaj opiekunów, którzy są autoryzowani do korzystania z pliku danych osłony.

Zadanie 5. Wdrażanie maszyny wirtualnej z osłoną

Wdróż maszynę wirtualną z osłoną przy użyciu pakietu Windows Azure Pack lub programu VMM:
1. Przekaż plik danych osłony zgodnie z wymaganiami wybranej metody wdrażania, na przykład Windows Azure Pack lub VMM.
2. Skonfiguruj nową chronioną maszynę wirtualną.

Zadanie 6. Uruchamianie maszyny wirtualnej z osłoną

Proces uruchamiania maszyny wirtualnej z osłoną jest następujący:

Użytkownik żąda uruchomienia chronionej maszyny wirtualnej.
Usługa zaświadczania HGS weryfikuje poświadczenia chronionego hosta i wysyła certyfikat zaświadczania do chronionego hosta.
Chroniony host przesyła certyfikat zaświadczenia i parametr kluczowy do KPS i żąda otrzymania klucza do odblokowania chronionej maszyny wirtualnej.
Usługa ochrony klucza określa ważność certyfikatu zaświadczania, odszyfrowuje KP, pobiera klucz do odblokowania chronionej maszyny wirtualnej i wysyła klucz do chronionego hosta.
Chroniony host używa klucza do odblokowania i uruchomienia chronionej maszyny wirtualnej.

Uwaga / Notatka

> obejmują Kreator tworzenia dysku szablonu chronionego, który jest dostępny z menu Narzędzia w Menedżerze serwera.

Opinia

Czy ta strona była pomocna?