Compartilhar via

Provisionar máquinas virtuais blindadas na malha do VMM

  • Artigo

Este artigo descreve como implantar máquinas virtuais blindadas na malha de computação do System Center Virtual Machine Manager (VMM).

Você pode implantar VMs blindadas no VMM de duas maneiras:

  • Converta uma VM existente em uma VM blindada.
  • Crie uma nova VM blindada usando um VHDX (disco rígido de máquina virtual) assinado e, opcionalmente, um modelo de VM.

Observação

Você pode ter problemas ao implantar uma máquina virtual blindada em uma rede com um balanceador de carga ou dispositivo de otimização de WAN. É necessário que o pacote não seja modificado durante o trânsito para que as VMs blindadas sejam implantadas com êxito.

Antes de começar

Assista a um vídeo que fornece uma visão geral rápida de dois minutos do provisionamento de VMs blindadas no VMM. Em seguida, verifique se você fez o seguinte:

  1. Preparar um servidor HGS: você deve ter um servidor HGS implantado. Saiba mais.

  2. Configurar o VMM: você precisa definir as configurações globais do HGS no VMM e configurar pelo menos um host protegido. Se os hosts protegidos pertencerem a uma nuvem, a nuvem deverá ser habilitada para dar suporte a VMs blindadas. Saiba mais.

  3. Preparar um modelo de VHDX e VM blindado: você deve implantar VMs blindadas de um VHDX (disco rígido virtual blindado) e, opcionalmente, usando um modelo de VM. Saiba mais sobre como prepará-los.

    Observação

    Não é possível usar um modelo de serviço para criar uma VM blindada. Em vez disso, use um script.

  4. Preparar arquivos de dados de blindagem: para usar os discos de modelo assinados na biblioteca do VMM, os locatários devem preparar um ou mais arquivos de dados de blindagem. Esse arquivo contém todos os segredos que um locatário precisa para implantar uma VM, incluindo o arquivo autônomo usado para especializar a VM, certificados e senhas de conta de administrador. O arquivo também especifica em qual malha protegida um locatário confia para hospedar sua VM e informações sobre os discos de modelo assinados. O arquivo é criptografado e só pode ser lido por um host em uma malha protegida confiável pelo locatário. Saiba mais.

  5. Configurar grupo de hosts: para facilitar o gerenciamento, recomendamos que os hosts protegidos sejam colocados em um grupo de hosts dedicado do VMM.

  6. Verifique os requisitos de VM existentes: Se você quiser converter uma VM existente em blindada, observe o seguinte:

    • A VM deve ser da Geração 2 e ter o modelo de Inicialização Segura do Microsoft Windows habilitado
    • O sistema operacional no disco deve ser um dos seguintes:
    • Windows Server 2016, Windows Server 2012 R2 e Windows Server 2012
    • Windows 10, Windows 8.1, Windows 8
    • O disco do sistema operacional para a VM deve usar a Tabela de Partição GUID. Isso é necessário para que as VMs de Geração 2 ofereçam suporte à UEFI.
    • A VM deve ser da Geração 2 e ter o modelo de Inicialização Segura do Microsoft Windows habilitado
    • O sistema operacional no disco deve ser um dos seguintes:
    • Windows Server 2016, Windows Server 2012 R2 e Windows Server 2012
    • Windows 10
    • O disco do sistema operacional da VM deve usar a Tabela de Partição GUID. Isso é necessário para que as VMs de Geração 2 ofereçam suporte à UEFI.
    • A VM deve ser da Geração 2 e ter o modelo de Inicialização Segura do Microsoft Windows habilitado
    • O sistema operacional no disco deve ser um dos seguintes:
      • Windows Server 2022, Windows Server 2019, Windows Server 2016
      • Windows 11, Windows 10
    • O disco do sistema operacional para a VM deve usar a Tabela de Partição GUID. Isso é necessário para que as VMs de Geração 2 ofereçam suporte à UEFI.

  7. Configurar VHD auxiliar: o provedor de serviços de hospedagem precisará criar uma VM que atue como um VHD auxiliar para converter os computadores existentes. Saiba mais.

Adicionar arquivos de dados de blindagem ao VMM

Antes de converter uma VM existente em uma VM blindada ou provisionar uma nova VM blindada de um modelo, o proprietário da VM deve gerar um arquivo de dados de blindagem e adicioná-lo ao VMM.

Se você ainda não tiver um arquivo de dados de blindagem importado, conclua as seguintes etapas:

  1. Crie um arquivo de dados de blindagem, caso ainda não tenha um. Verifique se o arquivo de dados de blindagem autoriza a malha de hospedagem que o VMM gerencia para executar suas VMs blindadas.
  2. No console do VMM, selecione Procurar Dados de Blindagem>de Importação de Biblioteca> e selecione o arquivo de dados de blindagem.
  3. Especifique um nome amigável para o arquivo de dados de blindagem em Nome e, opcionalmente, adicione uma descrição. Recomendamos que você indique se o arquivo de dados de blindagem se destina ao uso com as VMs existentes ou novas em seu nome para facilitar a localização novamente.
  4. Selecione Importar para salvar os dados de blindagem no VMM.

Para gerenciar seus arquivos de dados de blindagem importados, acesse Biblioteca>de dados de blindagem de VM (em Perfis).

Provisionar uma nova VM blindada

  1. Certifique-se de ter todos os pré-requisitos em vigor antes de começar.
  2. Em VMs e Serviços, selecione Criar Máquina Virtual para abrir o Assistente para Criar Máquina Virtual.
  3. Em Selecionar Origem, selecione Usar uma máquina virtual existente, modelo de VM ou disco>rígido virtual Procurar.
  4. Selecione um modelo de VM blindado ou um disco de modelo assinado. Ambos são identificados pelo ícone Imagem do ícone de escudo no VMM.de escudo .
  5. Em Selecionar arquivo de dados de blindagem, selecione Procurar e selecione um arquivo de dados de blindagem. Somente os arquivos de dados de blindagem que podem ser usados para criar uma nova VM blindada serão mostrados. Selecione OK>Avançar para continuar.
  6. Siga estas instruções para concluir o assistente e implantar a VM em um host/nuvem.

Quando você conclui o assistente, o VMM cria uma nova VM blindada do disco ou modelo:

  1. O arquivo VHDX (disco de modelo) é copiado da biblioteca do VMM.
  2. O provisionamento de VM descriptografa os dados no arquivo de dados de blindagem, conclui todas as cadeias de caracteres de substituição no arquivo unattend.xml e copia arquivos adicionais do arquivo de dados de blindagem para a unidade do sistema operacional (por exemplo, o certificado RDP).
  3. A VM é reiniciada, personalizada e criptografada novamente com o BitLocker. A chave de criptografia de volume completo do BitLocker é armazenada no TPM virtual da nova VM.
  4. A personalização da VM é concluída quando o comando shutdown no arquivo unattend.xml é executado; a VM permanece desligada. Se a personalização travar, verifique o arquivo unattend.xml executando-o em uma VM não blindada ou usando um arquivo de dados de blindagem com suporte para criptografia que permita o acesso ao console.
  5. Depois que o VMM detectar que a especialização foi concluída, ele atualizará seu status para indicar que a VM foi criada e, se selecionada, iniciará a VM.

Blindar uma VM existente

Você pode habilitar a blindagem para uma VM atualmente em execução em um host na malha do VMM que não está protegida.

  1. Certifique-se de ter todos os pré-requisitos em vigor antes de começar.
  2. Coloque a VM offline.
  3. Recomendamos que você habilite o BitLocker em todos os discos anexados à VM antes de movê-lo para o host protegido.
  4. Selecione o Módulo de Propriedades>da VM >e selecione um arquivo de dados de blindagem.
  5. Desligue a VM, exporte do host não protegido e importe-a para um host protegido. Somente um host protegido pode acessar os dados da VM.

Próximas etapas

Examine Gerenciar configurações de máquina virtual para saber como definir as configurações de desempenho e disponibilidade para VMs.