Поделиться через

Подготовка экранированных виртуальных машин в структуре VMM

  • Статья

В этой статье описывается, как развернуть экранированные виртуальные машины в вычислительной структуре System Center диспетчер виртуальных машин (VMM).

Экранированные виртуальные машины можно развернуть в VMM несколькими способами:

  • Преобразуйте существующую виртуальную машину в экранированную виртуальную машину.
  • Создайте экранированную виртуальную машину с помощью подписанного жесткого диска виртуальной машины (VHDX) и при необходимости шаблона виртуальной машины.

Примечание.

Вы можете столкнуться с проблемами при развертывании экранированных виртуальных машин через сеть с помощью подсистемы балансировки нагрузки или устройства оптимизации глобальной сети. Для успешного развертывания пакета требуется не изменять пакет во время передачи экранированных виртуальных машин.

Перед началом работы

Просмотрите видео, которое предоставляет краткий обзор подготовки экранированных виртуальных машин в VMM. Затем убедитесь, что вы сделали следующее:

  1. Подготовьте сервер HGS: должен быть развернут сервер HGS. Подробнее.

  2. Настройка VMM: необходимо настроить глобальные параметры HGS в VMM и настроить по крайней мере один защищенный узел. Если защищенные узлы принадлежат к облаку, облако должно быть включено для поддержки экранированных виртуальных машин. Подробнее.

  3. Подготовьте экранированный виртуальный жесткий диск и шаблон виртуальной машины: следует развернуть экранированные виртуальные машины с экранированного виртуального жесткого диска (VHDX) и при необходимости использовать шаблон виртуальной машины. Узнайте больше о подготовке этих данных.

    Примечание.

    Для создания экранированной виртуальной машины нельзя использовать шаблон службы. Вместо этого используйте скрипт.

  4. Подготовка файлов данных экранирования. Чтобы использовать подписанные диски шаблонов в библиотеке VMM, клиенты должны подготовить один или несколько файлов данных экранирования. Этот файл содержит все секреты, необходимые клиенту для развертывания виртуальной машины, включая автоматический файл, используемый для специализации виртуальной машины, сертификатов и паролей учетной записи администратора. Файл также указывает, какая структура защищена доверием клиента для размещения виртуальной машины и сведений о подписанных дисках шаблона. Файл шифруется и может читаться только узлом в защищенной структуре, доверенной клиентом. Подробнее.

  5. Настройка группы узлов. Для простого управления рекомендуется поместить защищенные узлы в выделенную группу узлов VMM.

  6. Проверьте существующие требования к виртуальной машине: если вы хотите преобразовать существующую виртуальную машину в экранированную, обратите внимание на следующее:

    • Виртуальная машина должна быть поколения 2 и включена шаблон безопасной загрузки Microsoft Windows
    • Операционная система на диске должна быть одной из следующих:
    • Windows Server 2016, Windows Server 2012 R2 и Windows Server 2012
    • Windows 10, Windows 8.1, Windows 8
    • Диск ОС для виртуальной машины должен использовать таблицу секций GUID. Это необходимо для виртуальных машин поколения 2 для поддержки UEFI.
    • Виртуальная машина должна быть поколения 2 и включена шаблон безопасной загрузки Microsoft Windows
    • Операционная система на диске должна быть одной из следующих:
    • Windows Server 2016, Windows Server 2012 R2 и Windows Server 2012
    • Windows 10
    • Диск ОС для виртуальной машины должен использовать таблицу секций GUID. Это необходимо для виртуальных машин поколения 2 для поддержки UEFI.
    • Виртуальная машина должна быть поколения 2 и включена шаблон безопасной загрузки Microsoft Windows
    • Операционная система на диске должна быть одной из следующих:
      • Windows Server 2022, Windows Server 2019, Windows Server 2016
      • Windows 11, Windows 10
    • Диск ОС для виртуальной машины должен использовать таблицу секций GUID. Это необходимо для виртуальных машин поколения 2 для поддержки UEFI.
    • Виртуальная машина должна быть поколения 2 и включена шаблон безопасной загрузки Microsoft Windows
    • Операционная система на диске должна быть одной из следующих:
      • Windows Server 2025, Windows Server 2022, Windows Server 2019
      • Windows 11, Windows 10
    • Диск ОС для виртуальной машины должен использовать таблицу секций GUID. Это необходимо для виртуальных машин поколения 2 для поддержки UEFI.

  7. Настройка вспомогательного виртуального жесткого диска: поставщик услуг размещения должен создать виртуальную машину, которая выступает в качестве вспомогательного виртуального жесткого диска для преобразования существующих компьютеров. Подробнее.

Добавление файлов данных экранирования в VMM

Прежде чем преобразовать существующую виртуальную машину в экранированную виртуальную машину или подготовить новую экранированную виртуальную машину из шаблона, владелец виртуальной машины должен создать файл данных экранирования и добавить его в VMM.

Если у вас еще нет импортированного файла данных экранирования, выполните следующие действия.

  1. Создайте файл данных экранирования, если у вас еще нет файла данных. Убедитесь, что файл данных экранирования авторизует VMM структуры размещения для запуска экранированных виртуальных машин.
  2. В консоли VMM выберите "Импорт данных экранирования библиотеки>">и выберите файл данных экранирования.
  3. Укажите понятное имя для файла данных экранирования в имени и при необходимости добавьте описание. Рекомендуется указать, предназначен ли экранированный файл данных для использования с существующими или новыми виртуальными машинами в его имени, чтобы упростить поиск снова.
  4. Выберите "Импорт" , чтобы сохранить данные экранирования в VMM.

Чтобы управлять импортированными файлами данных экранирования, перейдите к разделу "Экранирование виртуальных машин библиотеки>" (в разделе "Профили").

Подготовка новой экранированного виртуальной машины

  1. Перед началом работы убедитесь, что у вас есть все предварительные требования.
  2. В виртуальных машинах и службах выберите "Создать виртуальную машину ", чтобы открыть мастер создания виртуальных машин.
  3. В разделе "Выбор источника" выберите "Использовать существующую виртуальную машину,шаблон виртуальной машины" или "Обзор виртуального жесткого диска>".
  4. Выберите экранированный шаблон виртуальной машины или подписанный диск шаблона. Оба идентифицируются значком Изображение значка щита в VMM.щита.
  5. В разделе "Выбор файла данных экранирования" выберите "Обзор" и выберите файл данных экранирования. Отображаются только экранированные файлы данных, которые можно использовать для создания экранированных виртуальных машин. Нажмите кнопку "ОК>рядом", чтобы продолжить.
  6. Следуйте этим инструкциям , чтобы завершить работу мастера и развернуть виртуальную машину в узле или облаке.

После завершения работы мастера VMM создает новую экранированную виртуальную машину с диска или шаблона:

  1. Файл диска шаблона (VHDX) копируется из библиотеки VMM.
  2. Подготовка виртуальной машины расшифровывает данные в файле данных экранирования, завершает все строки подстановки в файле unattend.xml и копирует дополнительные файлы из файла экранирования данных на диск операционной системы (например, сертификат RDP).
  3. Виртуальная машина перезапускается, настраивается и повторно шифруется с помощью BitLocker. Полный ключ шифрования тома BitLocker хранится в виртуальном TPM новой виртуальной машины.
  4. Настройка виртуальной машины завершается при выполнении команды завершения работы в файле unattend.xml; Виртуальная машина остается отключенной. Если настройка зависает, проверьте файл unattend.xml, запустив его на незащищенной виртуальной машине или используя файл данных, поддерживаемый шифрованием, который разрешает доступ к консоли.
  5. После того как VMM обнаружит, что специализация завершена, она обновит его состояние, чтобы указать, что виртуальная машина создана, и при выборе запустите виртуальную машину.

Экранирование существующей виртуальной машины

Вы можете включить экранирование виртуальной машины, работающей на узле в структуре VMM, которая не защищена.

  1. Перед началом работы убедитесь, что у вас есть все необходимые условия.
  2. Отключите виртуальную машину в автономном режиме.
  3. Перед перемещением на защищенный узел рекомендуется включить BitLocker на всех дисках, подключенных к виртуальной машине.
  4. Выберите экран свойств>виртуальной машины >и выберите файл данных экранирования.
  5. Завершите работу виртуальной машины, экспортируйте его из незащищенного узла и импортируйте его в защищенный узел. Доступ к данным виртуальной машины может получить только защищенный узел.

Следующие шаги

Ознакомьтесь с разделом "Управление параметрами виртуальной машины", чтобы узнать, как настроить параметры производительности и доступности для виртуальных машин.