Configurar um disco e um modelo de VM para implantar VMs blindadas

Você implanta máquinas virtuais blindadas na malha de computação do System Center Virtual Machine Manager (VMM) usando um VHDX (disco rígido de máquina virtual assinado) e, opcionalmente, com um modelo de VM. Este artigo descreve como adicionar discos de modelo assinados ao VMM, configurar um disco de utilitário de blindagem, implantar novas VMs blindadas e converter as VMs existentes em VMs blindadas no VMM.

Antes de começar

• O disco de modelo assinado usado para criar o modelo de VM blindada deve ter a família e a versão marcadas.
• A biblioteca do VMM à qual você adiciona o disco de modelo assinado deve estar acessível às nuvens das quais as VMs blindadas serão provisionadas.
• A biblioteca compartilhada deve ser adicionada às nuvens das quais as VMs blindadas serão provisionadas (não no modo somente leitura).

Adicionar discos de modelo assinados para VMs blindadas à biblioteca do VMM

As VMs blindadas podem ser implantadas de duas maneiras: implantando diretamente de um disco de modelo assinado ou convertendo uma VM existente em uma VM blindada.

Os discos de modelo assinados garantem aos locatários que o conteúdo do disco não foi modificado e permitem que os locatários transfiram com segurança segredos de implantação, como senhas e certificados de administrador, para a VM de maneira criptografada. Por esse motivo, é preferível implantar VMs blindadas de discos de modelo assinados.

Para preparar e adicionar um disco de modelo assinado à biblioteca do VMM, conclua as seguintes etapas:

1. Prepare um disco de modelo assinado em um computador que executa o Windows Server 2016 ou 2019 com a Experiência Desktop ou posterior, ou o Windows 10 ou o Windows 11 com as Ferramentas de Administração de Servidor Remoto instaladas.

2. Copie o disco do modelo para um compartilhamento da biblioteca (\\<vmmserver>\MSSCVMMLibrary\VHDs por padrão) e atualize o servidor de biblioteca.

3. Para fornecer ao VMM informações sobre o sistema operacional no modelo de disco, em Biblioteca, clique no disco > >Propriedades.

4. Em Sistema operacional, selecione o sistema operacional instalado no disco. Isso indica ao VMM que o VHDX não está em branco. O ícone de escudo ao lado do nome do disco o indica como um disco de modelo assinado para VMs blindadas. Forneça as informações sobre a Família e a Versão do disco, bem como para disponibilizar os recursos no portal de autoatendimento do Azure Pack do locatário (opcional).

   

5. Selecione OK para salvar as propriedades do disco de modelo assinado.

Criar um modelo de VM blindado

Opcionalmente, você pode criar um modelo de VM blindado usando um disco de modelo assinado. Os modelos de VM definem recursos de máquina virtual, como contagem de CPU, RAM e rede para um disco do sistema operacional.

Os modelos para VMs blindadas variam um pouco de um modelo de VM normal. Algumas configurações são fixas; por exemplo, a VM deve ser uma VM de Geração 2 com Inicialização Segura habilitada. Crie o modelo de VM da seguinte maneira:

1. Selecione Biblioteca>Criar Modelo de VM. Em Selecionar Origem, selecione Usar um modelo de VM existente ou um disco rígido virtual armazenado na biblioteca >Procurar.
2. Selecione o disco de modelo assinado, especifique um nome de modelo e uma descrição opcional e selecione OK.
3. Em Configurar Hardware, especifique as propriedades de hardware para as VMs que você cria a partir do modelo. Verifique se há pelo menos uma NIC configurada e disponível. Os locatários se conectam a VMs blindadas por meio da Conexão de Área de Trabalho Remota, do Gerenciamento Remoto do Windows ou de outras ferramentas de gerenciamento remoto que exigem rede.
4. Se você quiser usar o endereçamento IP estático no pool de locatários, precisará informar seus locatários. Os locatários precisam fornecer um arquivo de resposta com valores, que especializa uma VM blindada para eles. Há valores de espaço reservado especiais e conhecidos necessários para dar suporte a pools de IPs estáticos.
5. Em Configurar sistema operacional, especifique a versão do sistema operacional, o nome do computador, a chave do produto e o fuso horário. O locatário fornece informações seguras, como a senha do administrador em um arquivo de dados de blindagem (. PDK), que eles fornecerão ao provisionar uma nova VM. Se você especificar uma chave do produto, verifique se ela é válida para o sistema operacional no disco de modelo. Se não estiver, a VM não será provisionada com êxito. Depois que o modelo de VM for criado, verifique se ele está disponível para a função de usuário Administrador de Locatários. Os locatários podem usá-lo para provisionar novas VMs.

Configurar o VHD auxiliar de blindagem

As VMs existentes do Windows também podem ser convertidas em VMs blindadas com o uso de um VHD auxiliar de blindagem. O VHD auxiliar é um disco especial preparado com ferramentas para criptografar a unidade do sistema operacional de outra VM. O VMM deve ser configurado com um VHD auxiliar antes que você possa proteger as VMs existentes.

1. Prepare um VHD auxiliar em um computador que executa o Windows Server 2016 ou posterior ou Windows 10 ou Windows 11 com as Ferramentas de Administração de Servidor Remoto instaladas.
2. Copie o VHD auxiliar para um compartilhamento de biblioteca e atualize o servidor de biblioteca.
3. No console do VMM, selecione Configurações>Configurações do Serviço Guardião de Host.
4. Na seção VHD do Auxiliar de Blindagem, selecione Procurar e selecione o VHD auxiliar na lista de arquivos nos compartilhamentos de biblioteca.
5. Selecione Concluir para salvar a configuração.

Com o VHD auxiliar de blindagem configurado, você pode continuar a proteger uma VM existente.

Próximas etapas

Examine Provisionar VMs blindadas para entender como implantar máquinas virtuais blindadas em uma malha de computação do VMM.