Aracılığıyla paylaş

VMM'de korunan konaklar sağlama

  • Makale

Bu makalede, System Center Virtual Machine Manager (VMM) işlem dokusunda korunan Hyper-V konaklarının nasıl dağıtılacağı açıklanmaktadır. Korunan doku hakkında daha fazla bilgi edinin.

VMM dokusunda korunan Hyper-V konaklarını ayarlamanın birkaç yolu vardır.

  • Mevcut bir konağı korumalı konak olarak yapılandırma: Korumalı VM'leri çalıştırmak için mevcut bir konağı yapılandırabilirsiniz.
  • Yeni bir korumalı konak ekleyin veya sağlayın: Bu konak şu olabilir:
    • Mevcut bir Windows Server bilgisayarı (Hyper-V rolüne sahip veya olmayan)
    • Çıplak bilgisayar

VMM dokusunda korunan konakları aşağıdaki gibi ayarlarsınız:

  1. Genel HGS ayarlarını yapılandırma: VMM korunan tüm konakları aynı Konak Koruyucu Hizmeti (HGS) sunucusuna bağlar, böylece korumalı VM'leri konaklar arasında başarıyla geçirebilirsiniz. Korunan tüm konaklara uygulanan genel HGS ayarlarını belirtirsiniz ve genel ayarları geçersiz kılan konağa özgü ayarları belirtebilirsiniz. Ayarları şunlardır:

    • Kanıtlama URL'si: Konağın HGS kanıtlama hizmetine bağlanmak için kullandığı URL. Bu hizmet, bir konağa korumalı VM'leri çalıştırma yetkisi sağlar.
    • Anahtar koruma sunucusu URL'si: Konağın VM'lerin şifresini çözmek için gereken anahtarı almak için kullandığı URL. Ana bilgisayarın anahtarları almak için kanıtlama geçirmesi gerekir.
    • Kod bütünlüğü ilkeleri: Kod bütünlüğü ilkesi, korunan bir konakta çalışabilen yazılımları kısıtlar. HGS TPM kanıtlamasını kullanacak şekilde yapılandırıldığında, korunan konakların HGS sunucusu tarafından yetkilendirilmiş bir kod bütünlüğü ilkesi kullanacak şekilde yapılandırılması gerekir. VMM'de kod bütünlüğü ilkelerinin konumunu belirtebilir ve bunları konaklarınıza dağıtabilirsiniz. Bu isteğe bağlıdır ve korunan bir yapıyı yönetmek için gerekli değildir.
    • VM koruma yardımcısı VHD: Mevcut VM'leri korumalı VM'lere dönüştürmek için kullanılan özel olarak hazırlanmış bir sanal sabit disk. Mevcut VM'leri korumak istiyorsanız bu ayarı yapılandırmanız gerekir.

  2. Bulutu yapılandırma: Korunan konak bir VMM bulutunda yer alacaksa, bulutu korumalı VM'leri destekleyecek şekilde etkinleştirmeniz gerekir.

Başlamadan önce

Devam etmeden önce Konak Koruyucu Hizmeti'ni dağıtıp yapılandırdığınızdan emin olun. Windows Server belgelerinde HGS'yi yapılandırma hakkında daha fazla bilgi edinin.

Ayrıca, korunan konak haline gelecek tüm konakların korunan konak önkoşullarını karşıladığından emin olun:

  • İşletim sistemi: Konak sunucuları Windows Server Datacenter'ı çalıştırmalıdır. Korunan konaklar için Sunucu Çekirdeği'nin kullanılması önerilir.
  • Rol ve özellikler: Konak sunucuları Hyper-V rolünü ve Konak Koruyucusu Hyper-V Desteği özelliğini çalıştırıyor olmalıdır. Konak Koruyucusu Hyper-V Desteği, konağın sistem durumunu kanıtlaması ve korumalı VM'ler için anahtar istemesi için HGS ile iletişim kurmasına olanak tanır. Ana bilgisayarınız Nano Sunucu çalıştırıyorsa İşlem, SCVMM-Package, SCVMM-Compute, SecureStartup ve ShieldedVM paketleri yüklü olmalıdır.
  • TPM kanıtlama: HGS'niz TPM kanıtlamasını kullanacak şekilde yapılandırılmışsa konak sunucuları şunları yapmalıdır:
    • UEFI 2.3.1c ve TPM 2.0 modülünü kullanma
    • UEFI modunda önyükleme (BIOS veya eski modda değil)
    • Güvenli Önyüklemeyi Etkinleştir
  • HGS kaydı: Hyper-V konaklarının HGS'ye kaydedilmesi gerekir. Bunların nasıl kaydedildiği, HGS'nin AD mi yoksa TPM kanıtlama mı kullandığına bağlıdır. Daha fazla bilgi edinin
  • Dinamik geçiş: Korumalı VM'leri dinamik olarak geçirmek istiyorsanız, iki veya daha fazla korumalı konak dağıtmanız gerekir.
  • Etki alanı: Korunan konaklar ve VMM sunucusu aynı etki alanında veya iki yönlü güvene sahip etki alanlarında olmalıdır.

Genel HGS ayarlarını yapılandırma

VMM işlem dokunuza korumalı konaklar ekleyebilmeniz için önce, VMM'yi doku için HGS hakkında bilgilerle yapılandırmanız gerekir. Aynı HGS, VMM tarafından yönetilen tüm korunan konaklar için kullanılır.

  1. HGS yöneticinizden dokunuz için kanıtlama ve anahtar koruma URL'lerini alın.

  2. VMM konsolunda Ayarlar>Ana Bilgisayar Koruyucu Hizmeti Ayarları'nı seçin.

  3. İlgili alanlara kanıtlama ve anahtar koruma URL'lerini girin. Şu anda kod bütünlüğü ilkelerini ve VM koruma yardımcısı VHD bölümlerini yapılandırmanız gerekmez.

    Genel HGS ayarları penceresinin ekran görüntüsü.

  4. Yapılandırmayı kaydetmek için Son'u seçin.

Yeni korumalı konak ekleme veya sağlama

  1. Konağı ekleyin:
    • Windows Server çalıştıran mevcut bir sunucuyu korumalı Hyper-V konağı olarak eklemek istiyorsanız, bunu dokuya ekleyin.
    • Çıplak bilgisayardan bir Hyper-V konağı sağlamak istiyorsanız, bu önkoşulları ve yönergeleri izleyin.

      Not

      Ana bilgisayarı sağlarken korumalı olarak dağıtabilirsiniz (Korumalı konak olarak yapılandırılan Kaynak Sihirbazı >İşletim Sistemi Ayarları>Ekle).

  2. Konağı korunan konak olarak yapılandırmak için sonraki bölüme geçin.

Mevcut bir konağı korumalı konak olacak şekilde yapılandırma

VMM tarafından yönetilen mevcut bir Hyper-V konasını korumalı konak olacak şekilde yapılandırmak için aşağıdaki adımları tamamlayın:

  1. Konağı bakım moduna yerleştirin.

  2. Tüm Konaklar'da konak Özellikleri>Konak Koruyucu Hizmeti'ne >sağ tıklayın.

    Bir konağı korumalı konak olarak etkinleştirme seçeneğinin ekran görüntüsü.

  3. Konak Koruyucusu Hyper-V Desteği özelliğini etkinleştirmek ve konağı yapılandırmak için seçin.

    Not

    • Ana bilgisayarda genel kanıtlama ve anahtar koruma sunucusu URL'leri ayarlanır.
    • Bu URL'leri VMM konsolunun dışında değiştirirseniz, BUNLARı VMM'de de güncelleştirmeniz gerekir. Bunu yapmazsanız VMM, URL'ler yeniden eşleşmeden konakta korumalı VM'ler yerleştirmez. Ayrıca, VMM'de yapılandırılan URL'lerle konağı yeniden yapılandırmak için Etkinleştir kutusunun işaretini kaldırıp yeniden işaretleyebilirsiniz.

  4. Kod bütünlüğü ilkelerini yönetmek için VMM kullanıyorsanız, ikinci onay kutusunu etkinleştirebilir ve sistem için uygun ilkeyi seçebilirsiniz.

  5. Konağın yapılandırmasını güncelleştirmek için Tamam'ı seçin.

  6. Konağı bakım modundan çıkartın.

VMM, konak eklediğinizde ve konak durumu her yenilendiğinde konağın kanıtlamayı geçirip geçirmediğini denetler. VMM yalnızca kanıtlamayı geçmiş konaklarda korumalı VM'leri dağıtır ve geçirir. Bir konağın kanıtlama durumunu Özellikler>Durumu>HGS İstemcisi Genel bölümünden de kontrol edebilirsiniz.

VMM bulutu üzerinde korunan konakları etkinleştirme

Bir bulutu korunan konakları destekleyecek şekilde etkinleştirin:

  1. VMM konsolunda VM'ler ve Hizmetler>Bulutları'nı seçin. Bulut adı >Özellikler'e sağ tıklayın.
  2. Genel>Korumalı VM desteği bölümünde Bu özel bulutta desteklenir'i seçin.

VMM ile kod bütünlüğü ilkelerini yönetme ve dağıtma

TPM kanıtlamasını kullanmak üzere yapılandırılmış korumalı yapılarda, her konağın Konak Koruyucu Hizmeti tarafından güvenilen bir kod bütünlüğü ilkesiyle yapılandırılması gerekir. Kod bütünlüğü ilkelerinin yönetimini kolaylaştırmak için isteğe bağlı olarak VMM'yi kullanarak korunan konaklarınıza yeni veya güncelleştirilmiş ilkeler dağıtabilirsiniz.

VMM tarafından yönetilen korumalı bir konağa kod bütünlüğü ilkesi dağıtmak için aşağıdaki adımları tamamlayın:

  1. Ortamınızdaki her başvuru konağı için bir kod bütünlüğü ilkesi oluşturun. Korunan konaklarınızın her benzersiz donanım ve yazılım yapılandırması için farklı bir CI ilkesine ihtiyacınız vardır.
  2. CI ilkelerini güvenli bir dosya paylaşımında depolayın. Korunan her konağın bilgisayar hesapları, paylaşıma okuma erişimi gerektirir. Yalnızca güvenilen yöneticilerin yazma erişimi olmalıdır.
  3. VMM konsolunda Ayarlar>Ana Bilgisayar Koruyucu Hizmeti Ayarları'nı seçin.
  4. Kod Bütünlüğü İlkeleri bölümünde Ekle'yi seçin ve kolay bir ad ve CI ilkesinin yolunu belirtin. Her benzersiz CI ilkesi için bu adımı yineleyin. İlkelerinizi, hangi ilkenin hangi konaklara uygulanması gerektiğini belirlemenize yardımcı olacak şekilde adlandırdığınızdan emin olun. Kod bütünlüğü ilkesi ekle'nin ekran görüntüsü.
  5. Yapılandırmayı kaydetmek için Son'u seçin.

Şimdi, korunan her konak için bir kod bütünlüğü ilkesi uygulamak için aşağıdaki adımları tamamlayın:

  1. Konağı bakım moduna yerleştirin.

  2. Tüm Konaklar'da konak Özellikleri>Konak Koruyucu Hizmeti'ne >sağ tıklayın.

    Kod bütünlüğü ilkesi uygulama seçeneğinin ekran görüntüsü.

  3. Konağı bir kod bütünlüğü ilkesiyle yapılandırma seçeneğini etkinleştirmek için seçin. Ardından sistem için uygun ilkeyi seçin.

  4. Yapılandırma değişikliğini uygulamak için Tamam'ı seçin. Konak, yeni ilkeyi uygulamak için yeniden başlatılabilir.

  5. Konağı bakım modundan çıkartın.

Uyarı

Konak için doğru kod bütünlüğü ilkesini seçtiğinizden emin olun. Konağa uyumsuz bir ilke uygulanırsa, bazı uygulamalar, sürücüler veya işletim sistemi bileşenleri artık çalışmayabilir.

Dosya paylaşımındaki kod bütünlüğü ilkesini güncelleştirir ve korunan konakları da güncelleştirmek isterseniz, aşağıdaki adımları tamamlayarak bunu yapabilirsiniz:

  1. Konağı bakım moduna yerleştirin.
  2. Tüm Konaklar'da, En Son Kod Bütünlüğü İlkesini Uygula konağına >sağ tıklayın.
  3. Konağı bakım modundan çıkartın.

Sonraki adımlar