Bereitstellen abgeschirmter virtueller Computer in der VMM-Fabric

  • Artikel

In diesem Artikel wird beschrieben, wie abgeschirmte virtuelle Computer in der Computer fabric system Center Virtual Machine Manager (VMM) bereitgestellt werden.

Sie können abgeschirmte VMs in VMM auf verschiedene Arten bereitstellen:

  • Konvertieren Sie einen vorhandenen virtuellen Computer in einen abgeschirmten virtuellen Computer.
  • Erstellen Sie eine neue abgeschirmte VM mit einer signierten vm-Festplatte (VHDX) und optional einer VM-Vorlage.

Hinweis

Möglicherweise treten Probleme beim Bereitstellen eines abgeschirmten virtuellen Computers über ein Netzwerk mit einem Lastenausgleichsgerät oder WAN-Optimierungsgerät auf. Es ist erforderlich, dass das Paket während der Übertragung für abgeschirmte VMs nicht geändert werden muss, um erfolgreich bereitzustellen.

Vor der Installation

Sehen Sie sich ein Video an, das eine schnelle, zweiminütige Übersicht über die Bereitstellung abgeschirmter VMs in VMM bietet. Stellen Sie dann sicher, dass Sie die folgenden Schritte ausgeführt haben:

  1. Vorbereiten eines HGS-Servers: Sie sollten einen HGS-Server bereitgestellt haben. Weitere Informationen

  2. Einrichten von VMM: Sie müssen globale HGS-Einstellungen in VMM konfigurieren und mindestens einen geschützten Host einrichten. Wenn geschützte Hosts zu einer Cloud gehören, sollte die Cloud aktiviert sein, um abgeschirmte VMs zu unterstützen. Weitere Informationen

  3. Bereiten Sie eine abgeschirmte VHDX- und VM-Vorlage vor: Sie sollten abgeschirmte VMs von einer abgeschirmten virtuellen Festplatte (VHDX) bereitstellen und optional eine VM-Vorlage verwenden. Erfahren Sie mehr über die Vorbereitung dieser Informationen.

    Hinweis

    Mit einer Dienstvorlage können Sie keinen abgeschirmten virtuellen Computer erstellen. Verwenden Sie stattdessen ein Skript.

  4. Vorbereiten von Abschirmungsdatendateien: Um die signierten Vorlagendatenträger in der VMM-Bibliothek zu verwenden, müssen Mandanten eine oder mehrere Abschirmungsdatendateien vorbereiten. Diese Datei enthält alle geheimen Schlüssel, die ein Mandant zum Bereitstellen eines virtuellen Computers benötigt, einschließlich der nichtattend-Datei, die verwendet wird, um die Kennwörter des virtuellen Computers, Zertifikate und Administratorkontos zu spezialisieren. Die Datei gibt auch an, welcher geschützte Fabric, der ein Mandant vertraut, um seine VM zu hosten und Informationen zu den signierten Vorlagendatenträgern zu hosten. Die Datei ist verschlüsselt und kann nur von einem Host in einem vom Mandanten vertrauenswürdigen geschützten Fabric gelesen werden. Weitere Informationen

  5. Einrichten der Hostgruppe: Zur einfachen Verwaltung empfehlen wir, dass geschützte Hosts in einer dedizierten VMM-Hostgruppe platziert werden.

  6. Überprüfen Sie vorhandene VM-Anforderungen: Wenn Sie eine vorhandene VM in abgeschirmt konvertieren möchten, beachten Sie Folgendes:

    • Der virtuelle Computer muss die Generation 2 sein und die Microsoft Windows-Vorlage für den sicheren Start aktiviert haben.
    • Das Betriebssystem auf dem Datenträger muss eine der folgenden Sein:
    • Windows Server 2016, Windows Server 2012 R2, Windows Server 2012
    • Windows 10, Windows 8.1, Windows 8
    • Der Betriebssystemdatenträger für den virtuellen Computer muss die GUID-Partitionstabelle verwenden. Dies ist für VMs der Generation 2 erforderlich, um UEFI zu unterstützen.
    • Der virtuelle Computer muss die Generation 2 sein und die Microsoft Windows-Vorlage für den sicheren Start aktiviert haben.
    • Das Betriebssystem auf dem Datenträger muss eine der folgenden Sein:
    • Windows Server 2016, Windows Server 2012 R2, Windows Server 2012
    • Windows 10
    • Der Betriebssystemdatenträger für den virtuellen Computer muss die GUID-Partitionstabelle verwenden. Dies ist für VMs der Generation 2 erforderlich, um UEFI zu unterstützen.
    • Der virtuelle Computer muss die Generation 2 sein und die Microsoft Windows-Vorlage für den sicheren Start aktiviert haben.
    • Das Betriebssystem auf dem Datenträger muss eine der folgenden Sein:
      • Windows Server 2022, Windows Server 2019, Windows Server 2016
      • Windows 11, Windows 10
    • Der Betriebssystemdatenträger für den virtuellen Computer muss die GUID-Partitionstabelle verwenden. Dies ist für VMs der Generation 2 erforderlich, um UEFI zu unterstützen.

  7. Einrichten der Hilfs-VHD: Der Hostingdienstanbieter muss einen virtuellen Computer erstellen, der als Hilfs-VHD fungiert, um die vorhandenen Computer zu konvertieren. Weitere Informationen

Hinzufügen von Abschirmungsdatendateien zu VMM

Bevor Sie eine vorhandene VM in einen abgeschirmten virtuellen Computer konvertieren oder einen neuen abgeschirmten virtuellen Computer aus einer Vorlage bereitstellen können, muss der Besitzer der VM eine Abschirmungsdatendatei generieren und sie zu VMM hinzufügen.

Wenn Sie noch keine Abschirmungsdatendatei importiert haben, führen Sie die folgenden Schritte aus:

  1. Erstellen Sie eine Abschirmungsdatendatei , wenn Sie noch keine datei besitzen. Stellen Sie sicher, dass die Abschirmungsdatendatei das Host fabric VMM zum Ausführen ihrer abgeschirmten VMs autorisiert.
  2. Wählen Sie in der VMM-Konsole "Daten durchsuchen" den Bibliotheksimport >aus>, und wählen Sie ihre Abschirmungsdatendatei aus.
  3. Geben Sie einen Anzeigenamen für die Abschirmungsdatendatei im Namen an, und fügen Sie optional eine Beschreibung hinzu. Es wird empfohlen, anzugeben, ob die Abschirmungsdatendatei für die Verwendung mit den vorhandenen oder neuen virtuellen Computern im Namen vorgesehen ist, um die Suche zu erleichtern.
  4. Wählen Sie "Importieren" aus, um die Abschirmungsdaten in VMM zu speichern.

Um Ihre importierten Abschirmungsdatendateien zu verwalten, wechseln Sie zu Library>VM Shielding Data (unter Profiles).

Bereitstellen einer neuen abgeschirmten VM

  1. Stellen Sie sicher, dass alle Voraussetzungen vorhanden sind, bevor Sie beginnen.
  2. Wählen Sie in virtuellen Computern und Diensten die Option "Virtuellen Computer erstellen" aus, um den Assistenten zum Erstellen virtueller Computer zu öffnen.
  3. Wählen Sie unter "Quelle auswählen" die Option "Vorhandene virtuelle Computer, VM-Vorlage oder virtuelle Festplatte>durchsuchen" aus.
  4. Wählen Sie eine abgeschirmte VM-Vorlage oder einen signierten Vorlagendatenträger aus. Beide werden durch das Schildsymbol Bild des Schildsymbols in VMM.identifiziert.
  5. Wählen Sie unter "Datenabschirmungsdatei" die Option "Durchsuchen" und dann eine abschirmende Datendatei aus. Es werden nur Datendateien abgeschirmt, die zum Erstellen einer neuen abgeschirmten VM verwendet werden können. Wählen Sie "OK>Weiter" aus, um fortzufahren.
  6. Befolgen Sie diese Anweisungen , um den Assistenten abzuschließen und den virtuellen Computer auf einem Host/einer Cloud bereitzustellen.

Wenn Sie den Assistenten abschließen, erstellt VMM eine neue abgeschirmte VM vom Datenträger oder der Vorlage:

  1. Die Vorlagendatenträgerdatei (VHDX) wird aus der VMM-Bibliothek kopiert.
  2. Die VM-Bereitstellung entschlüsselt die Daten in der Abschirmungsdatendatei, schließt alle Ersetzungszeichenfolgen in der unattend.xml Datei ab und kopiert zusätzliche Dateien aus der Abschirmungsdatendatei auf das Betriebssystemlaufwerk (z. B. das RDP-Zertifikat).
  3. Der virtuelle Computer wird neu gestartet, angepasst und mit BitLocker erneut verschlüsselt. Der vollständige Volumeverschlüsselungsschlüssel von BitLocker wird im virtuellen TPM der neuen VM gespeichert.
  4. Die VM-Anpassung ist abgeschlossen, wenn der Befehl zum Herunterfahren in der unattend.xml-Datei ausgeführt wird; Der virtuelle Computer bleibt ausgeschaltet. Wenn die Anpassung hängen bleibt, überprüfen Sie die unattend.xml Datei, indem Sie sie auf einer nicht geschützten VM ausführen oder eine verschlüsselungsgestützte Abschirmungsdatendatei verwenden, die den Konsolenzugriff ermöglicht.
  5. Nachdem VMM festgestellt hat, dass die Spezialisierung abgeschlossen ist, wird der Status aktualisiert, um anzugeben, dass der virtuelle Computer erstellt wurde, und wenn ausgewählt, den virtuellen Computer starten.

Abschirmen einer vorhandenen VM

Sie können die Abschirmung für einen virtuellen Computer aktivieren, der derzeit auf einem Host in der VMM-Fabric ausgeführt wird, die nicht geschützt ist.

  1. Stellen Sie sicher, dass alle Voraussetzungen vorhanden sind, bevor Sie beginnen.
  2. Schalten Sie den virtuellen Computer offline.
  3. Es wird empfohlen, BitLocker auf allen Datenträgern zu aktivieren, die an den virtuellen Computer angefügt sind, bevor Sie ihn auf den geschützten Host verschieben.
  4. Wählen Sie den VM-Eigenschaftenschild >>aus, und wählen Sie eine abschirmende Datendatei aus.
  5. Beenden Sie den virtuellen Computer, exportieren Sie ihn vom nicht geschützten Host, und importieren Sie ihn in einen geschützten Host. Nur ein geschützter Host kann auf die VM-Daten zugreifen.

Nächste Schritte

Lesen Sie " Verwalten von Einstellungen für virtuelle Computer", um zu erfahren, wie Sie Leistungs- und Verfügbarkeitseinstellungen für virtuelle Computer konfigurieren.