Configurer un disque et un modèle de machine virtuelle pour déployer des machines virtuelles dotées d’une protection maximale

  • Article

Vous déployez des machines virtuelles protégées dans l’infrastructure de calcul System Center Virtual Machine Manager (VMM) à l’aide d’un disque dur de machine virtuelle signé (VHDX) et éventuellement avec un modèle de machine virtuelle. Cet article explique comment ajouter des disques de modèle signés à VMM, configurer un disque utilitaire de protection, déployer de nouvelles machines virtuelles dotées d’une protection maximale et convertir les machines virtuelles existantes en machines virtuelles protégées dans VMM.

Avant de commencer

  • Le disque de modèle signé utilisé pour créer le modèle de machine virtuelle protégée doit avoir la famille et la version marquées.
  • La bibliothèque VMM à laquelle vous ajoutez le disque de modèle signé doit être accessible aux clouds à partir desquels les machines virtuelles protégées seront approvisionnées.
  • La bibliothèque partagée doit être ajoutée aux clouds à partir desquels les machines virtuelles protégées seront approvisionnées (pas en mode lecture seule).

Ajouter des disques de modèle signés pour les machines virtuelles protégées à la bibliothèque VMM

Les machines virtuelles dotées d’une protection maximale peuvent être déployées de deux façons : en déployant directement à partir d’un disque de modèle signé ou en convertissant une machine virtuelle existante en machine virtuelle protégée.

Les disques de modèle signés garantissent que le contenu du disque n’a pas été modifié et permet aux locataires de transférer en toute sécurité des secrets de déploiement tels que les mots de passe d’administrateur et les certificats vers la machine virtuelle de manière chiffrée. Pour cette raison, il est préférable de déployer des machines virtuelles protégées à partir de disques de modèles signés.

Pour préparer et ajouter un disque de modèle signé à la bibliothèque VMM, procédez comme suit :

  1. Préparez un disque de modèle signé sur un ordinateur exécutant Windows Server 2016 avec expérience de bureau ou Windows 10 ou Windows 11 avec les outils d’administration de serveur distant installés.
  1. Préparez un disque de modèle signé sur un ordinateur exécutant Windows Server 2016 ou 2019 avec expérience de bureau ou version ultérieure, ou Windows 10 ou Windows 11 avec les outils d’administration de serveur distant installés.

  1. Copiez le disque de modèle dans un partage de bibliothèque (\\<serveur_vmm>\MSSCVMMLibrary\VHDs par défaut) et actualisez le serveur de bibliothèque.

  2. Pour fournir à VMM des informations sur le système d’exploitation du disque de modèle, dans Bibliothèque, cliquez avec le bouton droit sur le disque >Propriétés.

  3. Dans le système d’exploitation, sélectionnez le système d’exploitation installé sur le disque. Cela indique à VMM que le VHDX n’est pas vide. L’icône de bouclier en regard du nom du disque le désigne comme un disque de modèle signé pour les machines virtuelles dotées d’une protection maximale. Fournissez les informations sur la famille et la mise en production du disque, ainsi que pour rendre les ressources disponibles dans le portail libre-service Azure Pack client (facultatif).

    Capture d’écran de la fenêtre Propriétés du disque pour le disque de modèle signé.

  4. Sélectionnez OK pour enregistrer les propriétés du disque de modèle signé.

Créer un modèle de machine virtuelle protégée

Vous pouvez éventuellement créer un modèle de machine virtuelle protégée à l’aide d’un disque de modèle signé. Les modèles de machine virtuelle définissent des ressources de machine virtuelle telles que le nombre d’UC, la RAM et la mise en réseau pour un disque de système d’exploitation.

Les modèles de machines virtuelles dotées d’une protection maximale varient légèrement d’un modèle de machine virtuelle standard. Certains paramètres sont résolus ; Par exemple, la machine virtuelle doit être une machine virtuelle de génération 2 avec démarrage sécurisé activé. Créez le modèle de machine virtuelle comme suit :

  1. Sélectionnez Bibliothèque>Créer un modèle de machine virtuelle. Dans Sélectionner une source, sélectionnez Utiliser un modèle de machine virtuelle existant ou un disque dur virtuel stocké dans la bibliothèque >Parcourir.
  2. Sélectionnez le disque de modèle signé, spécifiez un nom de modèle et une description facultative, puis sélectionnez OK.
  3. Dans Configurer le matériel, spécifiez les propriétés matérielles des machines virtuelles que vous créez à partir du modèle. Vérifiez qu’au moins une carte réseau est configurée et disponible. Les locataires se connectent à des machines virtuelles protégées via une connexion Bureau à distance, une gestion à distance Windows ou d’autres outils de gestion à distance qui nécessitent la mise en réseau.
  4. Si vous souhaitez utiliser l’adressage IP statique dans le pool de locataires, vous devez informer vos locataires. Les locataires doivent fournir un fichier de réponses avec des valeurs, qui se spécialise dans une machine virtuelle protégée pour eux. Il existe des valeurs spéciales d’espace réservé connues requises pour prendre en charge les pools d’adresses IP statiques.
  5. Dans Configurer le système d’exploitation, spécifiez la version du système d’exploitation, le nom de l’ordinateur, la clé de produit et le fuseau horaire. Le locataire fournit des informations sécurisées, telles que le mot de passe administrateur dans un fichier de données de protection (. PDK), qu’ils fournissent lors de l’approvisionnement d’une nouvelle machine virtuelle. Si vous spécifiez une clé de produit, vérifiez qu’elle est valide pour le système d’exploitation sur le disque du modèle. Si ce n’est pas le cas, la machine virtuelle ne s’approvisionne pas correctement. Une fois le modèle de machine virtuelle créé, assurez-vous qu’il est disponible pour le rôle d’utilisateur Administrateur du locataire. Les locataires peuvent ensuite l’utiliser pour approvisionner de nouvelles machines virtuelles.

Configurer le disque dur virtuel de l’assistance de protection

Les machines virtuelles Windows existantes peuvent également être converties en machines virtuelles protégées à l’aide d’un disque dur virtuel d’assistance de protection. Le disque dur virtuel d’assistance est un disque spécial préparé avec des outils pour chiffrer le lecteur du système d’exploitation d’une autre machine virtuelle. VMM doit être configuré avec un disque dur virtuel d’assistance avant de pouvoir protéger les machines virtuelles existantes.

  1. Préparez un disque dur virtuel d’assistance sur un ordinateur exécutant Windows Server 2016 ou version ultérieure ou Windows 10 ou Windows 11 avec les outils d’administration de serveur distant installés.
  2. Copiez le disque dur virtuel de l’assistance sur un partage de bibliothèque et actualisez le serveur de bibliothèque.
  3. Dans la console VMM, sélectionnez Paramètres>du service Guardian de l’hôte des paramètres.
  4. Dans la section Shielding Helper VHD, sélectionnez Parcourir et sélectionnez le disque dur virtuel de l’assistance dans la liste des fichiers dans les partages de bibliothèque.
  5. Sélectionnez Terminer pour enregistrer la configuration.

Avec le disque dur virtuel d’assistance de protection configuré, vous pouvez continuer à protéger une machine virtuelle existante.

Étapes suivantes

Passez en revue les machines virtuelles dotées d’une protection maximale pour comprendre comment déployer des machines virtuelles dotées d’une protection maximale dans une infrastructure de calcul VMM.