Table of contents
TOC
Zwiń spis treści
Rozwiń spis treści

Aprowizowanie maszyn wirtualnych z osłoną w sieci szkieletowej programu VMM

Rayne Wiselman|Ostatnia aktualizacja: 15.11.2016
|
1 Współautor

Dotyczy: System Center 2016 — Virtual Machine Manager

W tym artykule opisano sposób wdrażania maszyn wirtualnych z osłoną w sieci szkieletowej obliczeń w programie System Center 2016 — Virtual Machine Manager (VMM).

Maszyny wirtualne z osłonami można wdrażać w programie VMM na kilka sposobów:

  • Konwersja istniejącej maszyny wirtualnej w maszynę wirtualną z osłoną
  • Tworząc nową maszynę wirtualną z osłoną za pomocą podpisanego dysku twardego maszyny wirtualnej (VHDX) i (opcjonalnie) szablonu maszyny wirtualnej.

Przed rozpoczęciem

Obejrzyj 2-minutowy film wideo, który zawiera krótkie omówienie aprowizowania maszyn wirtualnych z osłoną w programie VMM. Następnie wykonaj poniższe czynności:

  1. Przygotowanie serwera usługi Ochrona hosta: powinien zostać wdrożony serwer usługi Ochrona hosta. Dowiedz się więcej.
  2. Skonfigurowanie programu VMM: należy skonfigurować globalne ustawienia usługi Ochrona hosta w programie VMM oraz co najmniej jeden chroniony host. Jeśli chronione hosty należą do chmury, chmura ta powinna mieć włączoną obsługę maszyn wirtualnych z osłoną. Dowiedz się więcej.
  3. Przygotowanie dysku VHDX z osłoną i szablonu maszyny wirtualnej: należy wdrożyć maszyny wirtualne z osłoną przy użyciu wirtualnego dysku twardego (VHDX) z osłoną i (opcjonalnie) szablonu maszyny wirtualnej. Dowiedz się więcej o przygotowywaniu tych składników.
  4. Przygotowanie plików danych osłony: aby użyć podpisanych dysków szablonów z biblioteki programu VMM, dzierżawy muszą mieć przygotowany co najmniej jeden plik danych osłony. Taki plik zawiera wszystkie wpisy tajne, których dzierżawa potrzebuje do wdrożenia maszyny wirtualnej, w tym plik instalacji nienadzorowanej używany do specjalizowania maszyny wirtualnej, certyfikaty i hasło konta administratora. Plik zawiera także informacje o tym, której chronionej sieci szkieletowej dzierżawa ufa, aby hostować w niej swoją maszynę wirtualną oraz informacje o podpisanych dyskach szablonów. Plik jest zaszyfrowany i może zostać odczytany przez hosta wyłącznie w chronionej sieci szkieletowej, której dzierżawa ufa. Dowiedz się więcej.
  5. Skonfigurowanie grupy hostów: aby ułatwić zarządzanie, zalecamy umieszczenie hostów chronionych w dedykowanej grupie hostów programu VMM.
  6. Zweryfikowanie wymagań istniejącej maszyny wirtualnej: jeśli chcesz przekonwertować maszynę wirtualną na maszynę wirtualną z osłoną, pamiętaj:
    • Maszyna wirtualna musi być maszyną 2. generacji i mieć włączony szablon bezpiecznego rozruchu systemu Microsoft Windows
    • System operacyjny na dysku musi być jednym z następujących:
    • Windows Server 2016, Windows Server 2012 R2, Windows Server 2012
    • Windows 10, Windows 8.1, Windows 8
    • Dysk systemu operacyjnego dla maszyny wirtualnej musi używać tabeli partycji GUID. Jest to wymagane dla maszyn wirtualnych generacji 2, aby była możliwa obsługa interfejsu UEFI.
  7. Skonfigurowanie dysku VHD pomocnika: dostawca usług hostingowych musi utworzyć maszynę wirtualną, która działa jako dysk VHD pomocnika na potrzeby konwertowania istniejących maszyn. Dowiedz się więcej.

Dodawanie plików danych osłony do programu VMM

Zanim będzie można przekonwertować istniejącą maszynę wirtualną w maszynę wirtualną z osłoną lub aprowizować nową maszynę wirtualną z osłoną z szablonu, właściciel maszyny wirtualnej musi wygenerować plik danych osłony i dodać go do programu VMM.

Jeśli nie masz jeszcze zaimportowanego pliku danych osłony, wykonaj następujące czynności:

  1. Utwórz plik danych osłony, jeśli jeszcze nim nie dysponujesz. Upewnij się, że plik danych osłony autoryzuje sieć szkieletową hostingu zarządzaną przez program VMM do uruchamiania maszyn wirtualnych z osłoną.
  2. W konsoli programu VMM kliknij pozycję Biblioteka > Importuj dane osłony > Przeglądaj i wybierz swój plik danych osłony.
  3. Określ przyjazną nazwę pliku danych osłony w pozycji Nazwa i opcjonalnie dodaj opis. Zalecane jest wskazanie w nazwie, czy plik danych osłony jest przeznaczony do użytku z istniejącymi, czy nowymi maszynami wirtualnymi, aby ułatwić jego ponowne znalezienie.
  4. Kliknij przycisk Importuj, aby zapisać dane osłony w programie VMM.

Aby zarządzać zaimportowanymi plikami danych osłony, wybierz pozycję Biblioteka > Dane osłony maszyny wirtualnej (w obszarze „Profile”).

Aprowizowanie nowej maszyny wirtualnej z osłoną

  1. Przed rozpoczęciem upewnij się, że spełnione są wszystkie wymagania wstępne.
  2. W obszarze Maszyny wirtualne i usługi kliknij pozycję Utwórz maszynę wirtualną, aby utworzyć kreatora tworzenia maszyny wirtualnej.
  3. W obszarze Wybierz źródło kliknij pozycje Użyj istniejącej maszyny wirtualnej, szablonu maszyny wirtualnej lub wirtualnego dysku twardego > Przeglądaj.
  4. Wybierz szablon maszyny wirtualnej z osłoną lub podpisany dysk szablonu. Oba są identyfikowane przez ikonę tarczy Ikona tarczy w programie VMM.
  5. W obszarze Wybierz plik danych osłony kliknij pozycję Przeglądaj i wybierz plik danych osłony. Zostaną wyświetlone tylko pliki danych osłony, których można użyć do utworzenia nowej maszyny wirtualnej z osłoną. Kliknij przycisk OK > Dalej, aby kontynuować.
  6. Postępuj zgodnie z tymi instrukcjami, aby ukończyć pracę kreatora i wdrożyć maszynę wirtualną na hoście/w chmurze.

Po ukończeniu pracy kreatora program VMM utworzy nową maszynę wirtualną z osłoną na podstawie dysku lub szablonu:

  1. Plik dysku szablonu (VHDX) jest kopiowany z biblioteki programu VMM
  2. Podczas aprowizacji maszyny wirtualnej dane w pliku danych osłony są odszyfrowywane, uzupełniane są wszelkie ciągi podstawienia w pliku unattend.xml i kopiowane są dodatkowe pliki z pliku danych osłony na dysk systemu operacyjnego (np. certyfikat RDP).
  3. Maszyna wirtualna jest uruchamiana ponownie, dostosowywana i ponownie szyfrowana za pomocą funkcji BitLocker. Klucz szyfrowania pełnego woluminu funkcji BitLocker jest przechowywany w wirtualnym module TPM nowej maszyny wirtualnej.
  4. Dostosowywanie maszyny wirtualnej jest gotowe, gdy uruchamiane jest polecenie zamknięcia maszyny wirtualnej w pliku unattend.xml i maszyna wirtualna pozostaje wyłączona. Jeśli proces dostosowywania zostanie zatrzymany, sprawdź plik unattend.xml, uruchamiając go na maszynie wirtualnej bez osłony lub korzystając z pliku danych osłony obsługującego szyfrowanie, który umożliwia dostęp z konsoli.
  5. Gdy program VMM wykryje, że specjalizacja została zakończona, zaktualizuje jej stan w celu wskazania, że maszyna wirtualna została utworzona oraz, jeśli wybrano tę opcję, uruchomi maszynę wirtualną.

Włączanie osłony istniejącej maszyny wirtualnej

Osłonę można włączyć dla maszyny wirtualnej działającej aktualnie na hoście w sieci szkieletowej programu VMM, która nie jest chroniona.

  1. Przed rozpoczęciem upewnij się, że spełnione są wszystkie wymagania wstępne.
  2. Przełącz maszynę wirtualną w tryb offline.
  3. Zalecamy włączenie funkcji BitLocker na wszystkich dyskach dołączonych do maszyny wirtualnej przed przeniesieniem jej do chronionego hosta.
  4. Wybierz pozycje Maszyna wirtualna > Właściwości > Osłona, a następnie wybierz plik danych osłony.
  5. Zamknij maszynę wirtualną, wyeksportuj ją z niechronionego hosta, a następnie zaimportuj do chronionego hosta. Tylko chroniony host może uzyskiwać dostęp do danych maszyny wirtualnej.

Następne kroki

© 2017 Microsoft