Dela via

Etablera skyddade värdar i VMM

  • Artikel

Viktigt

Den här versionen av Virtual Machine Manager (VMM) har nått slutet av supporten. Vi rekommenderar att du uppgraderar till VMM 2022.

Den här artikeln beskriver hur du distribuerar skyddade Hyper-V-värdar i en beräkningsinfrastruktur för System Center – Virtual Machine Manager (VMM). Lär dig mer om skyddade infrastrukturresurser.

Du kan konfigurera skyddade Hyper-V-värdar i en VMM-infrastruktur på ett par olika sätt.

  • Konfigurera en befintlig värd som en skyddad värd: Du kan konfigurera en befintlig värd så att den kör skärmade virtuella datorer.
  • Lägga till eller etablera en ny skyddad värd: Den här värden kan vara:
    • En befintlig Windows Server-dator (med eller utan Hyper-V-rollen)
    • En dator utan operativsystem (Bare Metal)

Så här konfigurerar du skyddade värdar i VMM-infrastrukturen:

  1. Konfigurera globala HGS-inställningar: VMM ansluter alla skyddade värdar till samma HGS-server så att du kan migrera avskärmade virtuella datorer mellan värdar. Du anger de globala HGS-inställningarna som gäller för alla skyddade värdar och du kan ange värdspecifika inställningar som åsidosätter de globala inställningarna. Inställningarna innefattar:

    • URL för attestering: Den URL som värden använder för att ansluta till HGS-atttesteringstjänsten. Den här tjänsten gör att en värd kan köra skärmade virtuella datorer.
    • Webbadress för nyckelskyddsserver: Den URL som värden använder för att hämta nyckeln som krävs för att dekryptera virtuella datorer. Värden måste klara attesteringen för att kunna hämta nycklar.
    • Kodintegritetsprinciper: En kodintegritetsprincip begränsar den programvara som kan köras på en skyddad värd. När HGS har konfigurerats att använda TPM-attestering måste skyddade värdar konfigureras att använda en kodintegritetsprincip som auktoriserats av HGS-servern. Du kan ange platsen för kodintegritetsprinciper i VMM och distribuera dem till värdarna. Det här är valfritt och krävs inte för att hantera en skyddad infrastrukturresurs.
    • VHD för VM-skärmningshjälp: En särskilt förberedd virtuell hårddisk som används för att konvertera befintliga virtuella datorer till avskärmade virtuella datorer. Du måste konfigurera den här inställningen om du vill skydda de befintliga virtuella datorerna.

  2. Konfigurera molnet: Om den skyddade värden ska ingå i ett VMM-moln måste du konfigurera molnet så att det stöder avskärmade virtuella datorer.

Innan du börjar

Kontrollera att du har distribuerat och konfigurerat tjänsten Värdskydd innan du fortsätter. Mer information om hur du konfigurerar HGS finns i Windows Server-dokumentationen.

Se dessutom till att alla värdar som blir skyddade värdar uppfyller kraven för den skyddade värden:

  • Operativsystem: Värdservrar måste köra Windows Server Datacenter. Vi rekommenderar att du använder Server Core för skyddade värdar.
  • Roller och funktioner: Värdservrarna måste köra Hyper-V-rollen och funktionen Stöd för värdskyddstjänsten i Hyper-V. Funktionen Stöd för värdskyddstjänsten i Hyper-V kan kommunicera med värdskyddstjänsten (HGS) för att bekräfta dess hälsa och begära nycklar för avskärmade virtuella datorer. Om din värd kör Nano Server bör Compute-, SCVMM-Package-, SCVMM-Compute-, SecureStartup- och ShieldedVM-paketen vara installerade på värden.
  • TPM-attestering: Om din HGS är konfigurerad att använda TPM-attestering måste värdservrarna:
    • Använda UEFI 2.3.1c och en TPM 2.0-modul
    • Starta i UEFI-läge (inte BIOS eller ett ”äldre” läge)
    • Aktivera Säker Start
  • Registrering med värdskyddstjänsten: Hyper-V-värdarna måste vara registrerade med värdskyddstjänsten (HGS). Hur de registreras beror på om HGS använder AD- eller TPM-attestering. Läs mer
  • Direktmigrering: Om du vill direktmigrera skärmade virtuella datorer måste du distribuera två eller fler skyddade värdar.
  • Domän: Skyddade värdar och VMM-servern måste finnas i samma domän eller i domäner med dubbelriktat förtroende.

Konfigurera globala HGS-inställningar

Innan du kan lägga till skyddade värdar i VMM-beräkningsinfrastrukturen måste du konfigurera VMM med information om tjänsten Värdskydd (HGS) för infrastrukturresurserna. Samma HGS används för alla skyddade värdar som hanteras av VMM.

  1. Du får URL:erna för attestering och nyckelskydd för din infrastruktur från HGS-administratören.

  2. I VMM-konsolen väljer du Inställningar> Inställningarför tjänsten Värdskydd.

  3. Ange URL:erna för attestering och nyckelskydd i respektive fält. Du behöver inte konfigurera kodintegritetsprinciperna och VHD-hjälpavsnitten för VM-skärmning just nu.

    Skärmbild av fönstret Globala HGS-inställningar.

  4. Spara konfigurationen genom att välja Slutför .

Lägga till eller etablera en ny skyddad värd

  1. Lägg till värden:
    • Om du vill lägga till en befintlig server som kör Windows Server som en skyddad Hyper-V-värd lägger du till den i infrastrukturresurserna.
    • Om du vill etablera en Hyper-V-värd från en dator utan operativsystem (Bare Metal) följer du dessa krav och anvisningar.

      Anteckning

      Du kan distribuera värden som skyddad när du etablerar den (Lägg till inställningar för operativsystemet> i resursguiden >Konfigurera som skyddad värd).

  2. Fortsätt till nästa avsnitt för att konfigurera värden som en skyddad värd.

Konfigurera en befintlig värd som en skyddad värd

Konfigurera en befintlig Hyper-V-värd som hanteras av VMM som en skyddad värd genom att utföra följande steg:

  1. Placera värden i underhållsläge.

  2. I Alla värdar högerklickar du på värdegenskapernas>>värdskyddstjänst.

    Skärmbild av Aktivera en värd som en skyddad värd.

  3. Välj att aktivera funktionen Stöd för värdskyddstjänsten i Hyper-V och konfigurera värden.

    Anteckning

    • URL:erna för den globala attesteringsservern och nyckelskyddsservern anges på värden.
    • Om du ändrar dessa URL:er utanför VMM-konsolen måste du uppdatera dem i VMM. Om du inte gör det placerar VMM inte avskärmade virtuella datorer på värden förrän URL:erna matchar igen. Du kan också avmarkera och markera kryssrutan "Aktivera" igen för att konfigurera om värden med url:erna som konfigurerats i VMM.

  4. Om du använder VMM för att hantera kodintegritetsprinciper kan du aktivera den andra kryssrutan och välja lämplig princip för systemet.

  5. Välj OK för att uppdatera värdens konfiguration.

  6. Ta bort värden från underhållsläge.

VMM kontrollerar att värden klarar attesteringen när du lägger till den och varje gång värdstatusen uppdateras. VMM distribuerar och migrerar endast skärmade virtuella datorer på värdar som har klarat attesteringen. Du kan kontrollera attesteringsstatusen för en värd i Egenskaper>Status>HGS Client Overall (HGS-klient överlag).

Aktivera skyddade värdar i ett VMM-moln

Konfigurera ett moln så att det stöder skyddade värdar:

  1. I VMM-konsolen väljer du Virtuella datorer ochtjänstmoln>. Högerklicka på molnnamnet >Egenskaper.
  2. I Allmänt>stöd för avskärmade virtuella datorer väljer du Stöds i det här privata molnet.

Hantera och distribuera kodintegritetsprinciper med VMM

I skyddade infrastrukturer som har konfigurerats att använda TPM-attestering måste varje värd konfigureras med en kodintegritetsprincip som är betrodd av tjänsten Värdskydd (HGS). Om du vill kan du underlätta hanteringen av kodintegritetsprinciper genom att använda VMM för att distribuera nya eller uppdaterade principer till skyddade värdar.

Du distribuerar en kodintegritetsprincip till en skyddad värd som hanteras av VMM genom att utföra följande steg:

  1. Skapa en kodintegritetsprincip för varje referensvärd i din miljö. Du behöver en annan CI-princip för varje unik maskinvaru- och programvarukonfiguration för dina skyddade värdar.
  2. Lagra kodintegritetsprinciperna på en säker filresurs. Datorkontona för varje skyddad värd kräver läsbehörighet till resursen. Endast betrodda administratörer bör ha skrivåtkomst.
  3. I VMM-konsolen väljer du Inställningar> Inställningarför tjänsten Värdskydd.
  4. Under avsnittet Kodintegritetsprinciper väljer du Lägg till och anger ett eget namn och sökvägen till en CI-princip. Upprepa det här steget för varje unik CI-princip. Se till att namnge dina principer på ett sätt som hjälper dig att identifiera vilken princip som ska tillämpas på vilka värdar. Skärmbild av Lägg till en kodintegritetsprincip.
  5. Spara konfigurationen genom att välja Slutför .

Tillämpa en kodintegritetsprincip genom att slutföra följande steg för varje skyddad värd:

  1. Placera värden i underhållsläge.

  2. I Alla värdar högerklickar du på värdegenskapernas>>värdskyddstjänst.

    Skärmbild av Tillämpa en kodintegritetsprincip.

  3. Aktivera det här alternativet för att konfigurera värden med en kodintegritetsprincip, och välj sedan lämplig princip för systemet.

  4. Välj OK för att tillämpa konfigurationsändringen. Värden kan behöva starta om för att tillämpa den nya principen.

  5. Ta bort värden från underhållsläge.

Varning

Se till att du väljer rätt kodintegritetsprincip för värden. Om en inkompatibel princip tillämpas på värden kanske vissa program, drivrutiner eller operativsystemkomponenter slutar fungera.

Om du uppdaterar kodintegritetsprincipen i filresursen och även vill uppdatera de skyddade värdarna kan du göra det genom att utföra följande steg:

  1. Placera värden i underhållsläge.
  2. I Alla värdar högerklickar du på värden >Tillämpa den senaste kodintegritetsprincipen.
  3. Ta bort värden från underhållsläge.

Nästa steg