Подготовка защищенных узлов в VMM

В этой статье описывается, как развернуть защищенные узлы Hyper-V в вычислительной структуре System Center диспетчер виртуальных машин (VMM). Узнайте больше о защищенной структуре.

Существует несколько способов настройки защищенных узлов Hyper-V в структуре VMM.

• Настройте существующий узел для защищенного узла: можно настроить существующий узел для запуска экранированных виртуальных машин.
• Добавьте или подготовьте новый защищенный узел: этот узел может быть следующим:
  • Существующий компьютер Windows Server (с ролью Hyper-V или без нее)
  • Компьютер без операционной системы

Вы настроили защищенные узлы в структуре VMM следующим образом:

1. Настройка глобальных параметров HGS: VMM подключает все защищенные узлы к одному серверу службы защиты узлов (HGS), чтобы можно было успешно перенести экранированные виртуальные машины между узлами. Вы указываете глобальные параметры HGS, которые применяются ко всем защищенным узлам, и можно указать параметры, относящиеся к узлу, которые переопределяют глобальные параметры. Используются следующие параметры.

   • URL-адрес аттестации: URL-адрес, который узел использует для подключения к службе аттестации HGS. Эта служба разрешает узлу запускать экранированные виртуальные машины.
   • URL-адрес сервера защиты ключей: URL-адрес, который узел использует для извлечения ключа, необходимого для расшифровки виртуальных машин. Узел должен передать аттестацию для получения ключей.
   • Политики целостности кода: политика целостности кода ограничивает программное обеспечение, которое может выполняться на защищенном узле. Если HGS настроено на использование аттестации доверенного платформенного модуля, защищенные узлы должны быть настроены для использования политики целостности кода, авторизованной сервером HGS. Вы можете указать расположение политик целостности кода в VMM и развернуть их на узлах. Это необязательно и не требуется для управления защищенной структурой.
   • Вспомогательный виртуальный жесткий диск экранирования виртуальной машины: специально подготовленный виртуальный жесткий диск, используемый для преобразования существующих виртуальных машин в экранированные виртуальные машины. Этот параметр необходимо настроить, если вы хотите экранировать существующие виртуальные машины.

2. Настройка облака. Если защищенный узел будет включен в облако VMM, необходимо включить облако для поддержки экранированных виртуальных машин.

Перед началом работы

Перед продолжением убедитесь, что вы развернули и настроили службу защиты узла. Дополнительные сведения о настройке HGS см. в документации по Windows Server.

Кроме того, убедитесь, что все узлы, которые станут защищенными узлами, соответствуют предварительным требованиям защищенного узла:

• Операционная система: серверы узлов должны запускать Центр обработки данных Windows Server. Рекомендуется использовать серверную ядро для защищенных узлов.
• Роль и функции. Серверы узлов должны работать с ролью Hyper-V и функцией поддержки Host Guardian Hyper-V. Поддержка Host Guardian Hyper-V позволяет узлу взаимодействовать с HGS, чтобы подтвердить работоспособность и запрос ключей для экранированных виртуальных машин. Если узел работает под управлением Nano Server, он должен установить пакеты Compute, SCVMM-Package, SCVMM-Compute, SecureStartup и ShieldedVM.
• Аттестация TPM: если для HGS настроено использование аттестации доверенного платформенного модуля, серверы узлов должны:
  • Использование UEFI 2.3.1c и модуля TPM 2.0
  • Загрузка в режиме UEFI (не BIOS или устаревший режим)
  • Включение безопасной загрузки
• Регистрация HGS: узлы Hyper-V должны быть зарегистрированы в HGS. Как они регистрируются, зависит от того, используется ли HGS аттестация AD или TPM. Подробнее
• Динамическая миграция. Если вы хотите перенести экранированные виртуальные машины, необходимо развернуть два или более защищенных узлов.
• Домен. Защищенные узлы и сервер VMM должны находиться в одном домене или в доменах с двусторонним доверием.

Настройка глобальных параметров HGS

Прежде чем добавлять защищенные узлы в структуру вычислений VMM, необходимо настроить VMM с информацией о HGS для структуры. Те же HGS будут использоваться для всех защищенных узлов, управляемых VMM.

1. Получите URL-адреса аттестации и защиты ключей для структуры от администратора HGS.

2. В консоли VMM выберите параметры> службы защиты узла.

3. Введите URL-адреса аттестации и защиты ключей в соответствующих полях. В настоящее время вам не нужно настраивать политики целостности кода и разделы вспомогательного виртуального жесткого диска экранирования виртуальных жестких машин.
   
   

4. Нажмите кнопку Готово, чтобы сохранить настройки.

Добавление или подготовка нового защищенного узла

1. Добавьте узел:
   • Если вы хотите добавить существующий сервер под управлением Windows Server в качестве защищенного узла Hyper-V, добавьте его в структуру.
   • Если вы хотите подготовить узел Hyper-V с компьютера без операционной системы, следуйте этим предварительным требованиям и инструкциям.

     Примечание.

     При подготовке узла можно развернуть как защищенный (настройка параметров>ОС мастера >ресурсов в качестве защищенного узла).

2. Перейдите к следующему разделу, чтобы настроить узел в качестве защищенного узла.

Настройка существующего узла для защищенного узла

Чтобы настроить существующий узел Hyper-V, управляемый VMM, защищенным узлом, выполните следующие действия.

1. Поместите узел в режим обслуживания.

2. В разделе Все узлы щелкните узел правой кнопкой мыши, выберите Свойства>Служба защитника узлов.

   

3. Выберите, чтобы включить функцию поддержки Hyper-V host Guardian и настроить узел.

   Примечание.

   • Url-адреса глобального аттестации и сервера защиты ключей будут заданы на узле.
   • Если вы изменяете эти URL-адреса за пределами консоли VMM, необходимо также обновить их в VMM. Если вы этого не сделали, VMM не будет размещать экранированные виртуальные машины на узле до тех пор, пока URL-адреса не будут совпадать. Можно также снять флажок "Включить", чтобы перенастроить узел с URL-адресами, настроенными в VMM.

4. Если вы используете VMM для управления политиками целостности кода, можно включить второй флажок и выбрать соответствующую политику для системы.

5. Нажмите кнопку "ОК ", чтобы обновить конфигурацию узла.

6. Вывести узел из режима обслуживания.

VMM проверяет, передает ли узел аттестацию при добавлении и при каждом обновлении состояния узла. VMM развертывает и переносит экранированные виртуальные машины только на узлах, которые прошли аттестацию. Вы можете проверить состояние аттестации узла в разделе "Состояние>состояния свойств>" клиента HGS в целом.

Включение защищенных узлов в облаке VMM

Включите облако для поддержки защищенных узлов:

1. В консоли VMM выберите виртуальные машины и облака служб>. Щелкните правой кнопкой мыши имя облака и выберите Свойства.
2. В общей поддержке экранированных виртуальных машин выберите "Поддерживается" в этом частном облаке.>

Управление и развертывание политик целостности кода с помощью VMM

В защищенных структурах, настроенных для использования аттестации доверенного платформенного модуля, каждый узел должен быть настроен с помощью политики целостности кода, доверенной службой защиты узла. Чтобы упростить управление политиками целостности кода, можно также использовать VMM для развертывания новых или обновленных политик на защищенных узлах.

Чтобы развернуть политику целостности кода в защищенном узле, управляемом VMM, выполните следующие действия:

1. Создайте политику целостности кода для каждого узла ссылок в вашей среде. Вам нужна другая политика CI для каждой уникальной аппаратной и программной конфигурации защищенных узлов.
2. Сохраните политики CI в защищенном файловом ресурсе. Учетные записи компьютера для каждого защищенного узла требуют доступа на чтение к общей папке. Только доверенные администраторы должны иметь доступ на запись.
3. В консоли VMM выберите параметры> службы защиты узла.
4. В разделе "Политики целостности кода" выберите " Добавить " и укажите понятное имя и путь к политике CI. Повторите этот шаг для каждой уникальной политики CI. Обязательно присвойте политикам имя политик таким образом, чтобы определить, к каким узлам следует применять политику.
5. Нажмите кнопку Готово, чтобы сохранить настройки.

Теперь для каждого защищенного узла выполните следующие действия, чтобы применить политику целостности кода:

1. Поместите узел в режим обслуживания.

2. В разделе Все узлы щелкните узел правой кнопкой мыши, выберите Свойства>Служба защитника узлов.

   

3. Выберите, чтобы включить параметр настройки узла с политикой целостности кода. Затем выберите соответствующую политику для системы.

4. Нажмите кнопку "ОК ", чтобы применить изменение конфигурации. Узел может перезапустить, чтобы применить новую политику.

5. Вывести узел из режима обслуживания.

Предупреждение

Убедитесь, что выбрана правильная политика целостности кода для узла. Если несовместимая политика применяется к узлу, некоторые приложения, драйверы или компоненты операционной системы больше не работают.

Если вы обновляете политику целостности кода в общей папке и хотите также обновить защищенные узлы, выполните следующие действия.

1. Поместите узел в режим обслуживания.
2. В разделе Все узлы щелкните узел правой кнопкой мыши и выберите пункт Применить последнюю политику целостности кода.
3. Вывести узел из режима обслуживания.

Следующие шаги

• Настройте экранированный диск шаблона, диск служебной программы и шаблон виртуальной машины.