Table of contents
TOC
Recolher sumário
Expandir sumário

VMs protegidas - provedor de serviços de hospedagem cria um modelo VM protegido

Ryan Puffer|Última Atualização: 10/03/2017
|
1 Colaborador

Como com VMs normais, você pode criar um modelo VM (por exemplo, um modelo VM em Virtual Machine Manager (VMM)) para facilitar para locatários e administradores implantar novos VMs na malha usando um disco de modelo. Como VMs protegidas são sensíveis à segurança ativos, existem etapas adicionais para criar um modelo VM que dá suporte a protegendo. Este tópico abrange as etapas para criar um disco de modelo protegidos e um modelo VM em VMM.

Para entender como este tópico se encaixa no processo geral de implantação VMs protegidas, consulte etapas de configuração de provedor de serviço de hospedagem protegidos hosts e protegido VMs.

Preparar um sistema operacional VHDX

Primeiro, prepare um disco do sistema operacional que você executará o Assistente de criação de disco de modelo protegido. Esse disco será usado como o disco do sistema operacional em VMs do locatário. Você pode usar qualquer ferramentas existentes para criar esse disco, como o Microsoft Desktop imagem serviço Manager (DISM), ou configurar uma VM com um VHDX em branco e instalar manualmente o sistema operacional para esse disco. Ao configurar o disco, ele deve cumprir os requisitos a seguir que são específicas para a geração 2 e/ou protegido VMs:

Requisito para VHDXMotivo
Deve ser um disco de tabela de partição GUID (GPT)Necessário para máquinas virtuais de geração 2 dar suporte a UEFI
Tipo de disco deve ser básico em vez de dinâmico.
Observação: Isso se refere ao tipo de disco lógico, não o recurso VHDX "expansível dinamicamente" compatível com o Hyper-V.
O BitLocker NÃO dá suporte a discos dinâmicos.
O disco tem pelo menos duas partições. Uma partição deve incluir a unidade em que o Windows está instalado. Isso é a unidade que o BitLocker criptografará. A outra partição é a partição ativa, que contém o carregador de inicialização e permanece não criptografada para que o computador pode ser iniciado.Necessário para o BitLocker
É o sistema de arquivos NTFSNecessário para o BitLocker
O sistema operacional instalado no VHDX é um destes procedimentos:
-Windows Server 2016, Windows Server 2012 R2 ou Windows Server 2012
-Windows 10, Windows 8.1, Windows 8
Necessário para dar suporte de máquinas virtuais de geração 2 e o modelo de inicialização segura do Microsoft
Sistema operacional deve ser generalizado (execução sysprep.exe)Provisionamento de modelo envolve especializado VMs de carga de trabalho do locatário um específico
Observação

Se você usar VMM, não copie o disco de modelo para a biblioteca de VMM neste estágio.

Pacotes para criar um disco de modelo de servidor Nano necessários

Se você pretende executar Nano servidor como seu sistema operacional convidado em VMs protegidos, você deve garantir que sua imagem Nano Server inclui os seguintes pacotes:

  • Microsoft-NanoServer-convidado-Package
  • Microsoft-NanoServer-SecureStartup-Package

Execute o Windows Update no sistema operacional modelo

No disco do modelo, verifique se o sistema operacional tem todas as atualizações mais recentes do Windows instaladas. Recentemente, as atualizações lançadas melhoram a confiabilidade do processo de blindagem de ponta a ponta - um processo que talvez não consiga se completa do sistema operacional de modelo não está atualizado.

Preparar e proteger o VHDX com o Assistente de disco do modelo

Para usar um disco de modelo com VMs protegidas, o disco deve ser preparado e criptografado com o BitLocker usando o Assistente de criação de disco de modelo protegido. Este assistente irá gerar um hash para o disco e adicioná-lo para um catálogo de assinatura de volume (VSC). O VSC é assinado com um certificado que você especifica e é usado durante o processo de provisionamento para garantir que o disco está sendo implantado para um locatário não foi alterado ou substituído por um disco que locatário não confia. Por fim, o BitLocker está instalado no sistema operacional do disco (se ainda não estiver lá) para preparar o disco para criptografia durante o provisionamento de VM.

Observação

O Assistente de disco do modelo modificará o disco de modelo que você especificar no lugar. Você pode querer fazer uma cópia do VHDX desprotegido antes de executar o Assistente para fazer atualizações para o disco mais tarde. Você não poderá modificar um disco que foi protegido com o Assistente de disco do modelo.

Execute as seguintes etapas em um computador executando o Windows Server 2016 (não precisa ser um host protegido ou um servidor VMM):

  1. Copie o VHDX generalizada criado no preparar um sistema operacional VHDX para o servidor, se ainda não estiver lá.

  2. Para administrar o servidor localmente, instale o protegido VM ferramentas de recursos de ferramentas de administração de servidor remoto no servidor.

     Install-WindowsFeature RSAT-Shielded-VM-Tools -Restart
    

    Você também pode administrar o servidor de um computador cliente no qual você instalou o ferramentas de administração de servidor remoto do Windows 10.

  3. Obter ou criar um certificado para assinar o VSC para o VHDX que tornarão o disco de modelo para VMs protegidas de novo. Detalhes sobre esse certificado serão mostrados para locatários quando eles criam seus arquivos de dados blindagem e estão autorizando discos confiam. Portanto, é importante obter esse certificado de autoridade de certificação confiável mutuamente por você e seu locatários. Nos cenários corporativos onde você está hoster tanto o locatário, você pode considerar a emissão desse certificado em sua PKI.

    Se você está configurando um ambiente de teste e só quiser usar um certificado autoassinado para preparar o disco de modelo, execute um comando semelhante ao seguinte:

     New-SelfSignedCertificate -DnsName publisher.fabrikam.com
    
  4. Iniciar o modelo disco assistente do ferramentas administrativas pasta no menu Iniciar ou digitando TemplateDiskWizard.exe em um prompt de comando.

  5. Sobre o certificado página, clique em procurar para exibir uma lista de certificados. Selecione o certificado com o qual você pode preparar o modelo do disco. Clique em OK e, em seguida, clique em próxima.

  6. Na página de disco Virtual, clique em procurar para selecionar o que você preparou VHDX, em seguida, clique em próxima.

  7. Na página de assinatura de catálogo, forneça um amigável nome de disco e versão. Esses campos estão presentes para ajudá-lo a identificar o disco depois que ele foi preparado.

    Por exemplo, para nome de disco você digitava WS2016 e para versão, 1.0.0.0

  8. Revise suas seleções na página Review Settings do assistente. Quando você clica em gerar, o Assistente para habilitar o BitLocker no disco do modelo, calcule o hash do disco e criar o catálogo de assinatura de Volume, que é armazenado nos metadados do VHDX.

    Aguarde até que o processo de preparação terminou antes de tentar montar ou mova o disco de modelo. Esse processo pode demorar um pouco para ser concluído, dependendo do tamanho do disco.

  9. Sobre o resumo, informações sobre a página sobre o modelo do disco, o certificado usado para assinar o VSC, e o emissor de certificado é exibido. Clique em fechar para sair do assistente.

Se você usar VMM, siga as etapas nas seções restantes deste tópico para incorporar um disco de modelo em um modelo VM protegido no VMM.

Copiar o disco de modelo para a biblioteca VMM

Se você usar VMM, depois de criar um disco de modelo, você precisa copiá-lo para um compartilhamento de biblioteca VMM para que hosts possam baixar e usar o disco ao provisionar novas VMs. Use o procedimento a seguir para copiar o disco de modelo para a biblioteca VMM e, em seguida, atualizar a biblioteca.

  1. Copie o arquivo VHDX para a pasta de compartilhamento de biblioteca VMM. Se você usou a configuração de VMM padrão, copie o disco modelo \\MSSCVMMLibrary\VHDs.

  2. Atualize o servidor da biblioteca. Abrir o biblioteca espaço de trabalho, expanda servidores de biblioteca, clique com botão direito no servidor biblioteca que você deseja atualizar e clique em atualizar.

  3. Em seguida, fornece VMM informações sobre o sistema operacional instalado no disco do modelo:

    um. Encontre o disco de modelo importado recentemente no seu servidor de biblioteca no biblioteca espaço de trabalho.

    b. Clique com botão direito no disco e, em seguida, clique em propriedades.

    c. Para sistema operacional, expanda a lista e selecione o sistema operacional instalado no disco. Escolher um sistema operacional indica ao VMM que o VHDX não está em branco.

    d. Quando você atualizou as propriedades, clique em OK.

O ícone de escudo pequeno ao lado do nome do disco denota o disco como um disco de modelo preparado para VMs protegidas. Você também pode direito clicar em cabeçalhos de coluna e alterne a Shielded coluna para ver uma representação textual que indica se um disco destina-se para implantações de VM normais ou protegidas.

Disco de modelo de vm protegidos

Criar o modelo VM protegido no VMM usando o disco de modelo preparado

Com um disco de modelo preparado na sua biblioteca VMM, você estará pronto para criar um modelo VM para VMs protegidas. Modelos VM para VMs protegidos ligeiramente diferem dos modelos VM tradicionais em que determinadas configurações são fixos (geração 2 VM, UEFI e inicialização segura habilitada e assim por diante) e outros não estão disponíveis (personalização de locatário é limitada a alguns, selecione Propriedades da VM). Para criar o modelo VM, execute as seguintes etapas:

  1. No biblioteca espaço de trabalho, clique em criar modelo de VM na guia home na parte superior.

  2. No Selecionar origem página, clique em usar um modelo VM existente ou um disco rígido virtual armazenados na bibliotecae clique em procurar.

  3. Na janela que aparece, selecione um disco preparado modelo da biblioteca do VMM. Para identificar mais facilmente os discos são preparados, clique com botão direito um cabeçalho de coluna e habilite o Shielded coluna. Clique em OK, em seguida, próxima.

  4. Especifique um nome de modelo VM e, opcionalmente, uma descrição e, em seguida, clique em próxima.

  5. Sobre o configurar Hardware página, especificar as funcionalidades de VMs criadas com base nesse modelo. Certifique-se de que pelo menos uma placa de REDE está disponível e configurada no modelo de VM. É a única maneira de um locatário para se conectar a uma VM protegida por meio de conexão de área de trabalho remota, gerenciamento remoto do Windows ou outras ferramentas de gerenciamento remoto pré-configurada que funcionam em protocolos de redes.

    Se você optar por aproveitar pools de IP estáticos em VMM em vez de executar um servidor DHCP na rede locatário, você precisará alertar seu locatários para essa configuração. Quando um locatário fornece seu arquivo de dados blindagem, que contém o arquivo autônomo para o VMM, eles precisarão fornecer valores de espaço reservado especial para obter as informações de pool IP estáticas. Para obter mais informações sobre como espaços reservados VMM em arquivos autônomos de locatário, consulte criar um arquivo de resposta.

  6. Sobre o configurar o sistema operacional página, VMM mostrará apenas algumas opções para VMs protegidas, incluindo a chave do produto, o fuso horário e o nome do computador. Algumas informações seguras, como o nome de domínio e a senha de administrador, são especificadas pelo locatário por meio de um arquivo de dados blindagem (.PDK arquivo).

    Observação

    Se você optar por especificar uma chave do produto nessa página, certifique-se de que ela é válida para o sistema operacional no disco do modelo. Se uma chave do produto incorreto for usada, a criação de VM falhará.

Depois que o modelo é criado, locatários podem usá-lo para criar novas máquinas virtuais. Você precisará verificar se o modelo VM é um dos recursos disponíveis para a função de usuário do administrador de locatário (VMM, funções de usuário estão no configurações espaço de trabalho).

Consulte também

© 2017 Microsoft