Provisionner des machines virtuelles protégées dans l’infrastructure VMM

Cet article explique comment déployer des machines virtuelles protégées dans l’infrastructure de calcul System Center Virtual Machine Manager (VMM).

Vous pouvez déployer des machines virtuelles dotées d’une protection maximale dans VMM de deux façons :

  • Convertissez une machine virtuelle existante en machine virtuelle protégée.
  • Créez une machine virtuelle protégée à l’aide d’un disque dur de machine virtuelle signé (VHDX) et éventuellement d’un modèle de machine virtuelle.

Remarque

Vous pouvez rencontrer des problèmes de déploiement d’une machine virtuelle protégée sur un réseau avec un équilibreur de charge ou un appareil d’optimisation WAN. Il est nécessaire que le paquet ne soit pas modifié pendant le transit pour que les machines virtuelles dotées d’une protection maximale soient déployées.

Avant de commencer

Regardez une vidéo qui fournit une vue d’ensemble rapide et de deux minutes de l’approvisionnement de machines virtuelles dotées d’une protection maximale dans VMM. Vérifiez ensuite que vous avez effectué les opérations suivantes :

  1. Préparez un serveur SGH : vous devez disposer d’un serveur SGH déployé. Plus d’informations

  2. Configurer VMM : vous devez configurer des paramètres SGH globaux dans VMM et configurer au moins un hôte protégé. Si les hôtes protégés appartiennent à un cloud, le cloud doit être activé pour prendre en charge les machines virtuelles protégées. Plus d’informations

  3. Préparez un modèle VHDX et de machine virtuelle protégé : vous devez déployer des machines virtuelles protégées à partir d’un disque dur virtuel protégé (VHDX) et éventuellement à l’aide d’un modèle de machine virtuelle. En savoir plus sur la préparation de ces éléments.

    Remarque

    Vous ne pouvez pas utiliser un modèle de service pour créer une machine virtuelle dotée d’une protection maximale. Utilisez plutôt un script.

  4. Préparer les fichiers de données de protection : pour utiliser les disques de modèle signés dans la bibliothèque VMM, les locataires doivent préparer un ou plusieurs fichiers de données de protection. Ce fichier contient tous les secrets qu’un locataire doit déployer une machine virtuelle, y compris le fichier sans assistance utilisé pour spécialiser la machine virtuelle, les certificats et les mots de passe de compte d’administrateur. Le fichier spécifie également l’infrastructure protégée qu’un locataire approuve pour héberger sa machine virtuelle et des informations sur les disques de modèle signés. Le fichier est chiffré et peut uniquement être lu par un hôte dans une infrastructure protégée approuvée par le locataire. Plus d’informations

  5. Configurer un groupe hôte : pour une gestion simple, nous vous recommandons de placer des hôtes protégés dans un groupe hôte VMM dédié.

  6. Vérifiez la configuration requise pour les machines virtuelles existantes : si vous souhaitez convertir une machine virtuelle existante en machine virtuelle protégée, notez les points suivants :

    • La machine virtuelle doit être de génération 2 et le modèle de démarrage sécurisé Microsoft Windows doit être activé
    • Le système d’exploitation sur le disque doit être l’un des suivants :
    • Windows Server 2016, Windows Server 2012 R2, Windows Server 2012
    • Windows 10, Windows 8.1, Windows 8
    • Le disque du système d’exploitation de la machine virtuelle doit utiliser la table de partition GUID. Cela est nécessaire pour que les machines virtuelles de génération 2 prennent en charge UEFI.
    • La machine virtuelle doit être de génération 2 et le modèle de démarrage sécurisé Microsoft Windows doit être activé
    • Le système d’exploitation sur le disque doit être l’un des suivants :
    • Windows Server 2016, Windows Server 2012 R2, Windows Server 2012
    • Windows 10
    • Le disque du système d’exploitation de la machine virtuelle doit utiliser la table de partition GUID. Cela est nécessaire pour que les machines virtuelles de génération 2 prennent en charge UEFI.
    • La machine virtuelle doit être de génération 2 et le modèle de démarrage sécurisé Microsoft Windows doit être activé
    • Le système d’exploitation sur le disque doit être l’un des suivants :
      • Windows Server 2022, Windows Server 2019, Windows Server 2016
      • Windows 11, Windows 10
    • Le disque du système d’exploitation de la machine virtuelle doit utiliser la table de partition GUID. Cela est nécessaire pour que les machines virtuelles de génération 2 prennent en charge UEFI.
    • La machine virtuelle doit être de génération 2 et le modèle de démarrage sécurisé Microsoft Windows doit être activé
    • Le système d’exploitation sur le disque doit être l’un des suivants :
      • Windows Server 2025, Windows Server 2022, Windows Server 2019
      • Windows 11, Windows 10
    • Le disque du système d’exploitation de la machine virtuelle doit utiliser la table de partition GUID. Cela est nécessaire pour que les machines virtuelles de génération 2 prennent en charge UEFI.
  7. Configurer un disque dur virtuel d’assistance : le fournisseur de services d’hébergement doit créer une machine virtuelle qui agit comme disque dur virtuel d’assistance pour convertir les machines existantes. Plus d’informations

Ajouter des fichiers de données de protection à VMM

Avant de pouvoir convertir une machine virtuelle existante en machine virtuelle protégée ou provisionner une nouvelle machine virtuelle protégée à partir d’un modèle, le propriétaire de la machine virtuelle doit générer un fichier de données de protection et l’ajouter à VMM.

Si vous n’avez pas encore importé de fichier de données de protection, procédez comme suit :

  1. Créez un fichier de données de protection si vous n’en avez pas déjà. Vérifiez que le fichier de données de protection autorise l’infrastructure d’hébergement que VMM gère pour exécuter vos machines virtuelles protégées.
  2. Dans la console VMM, sélectionnez Library>Import Shielding Data>Browse et sélectionnez votre fichier de données de protection.
  3. Spécifiez un nom convivial pour le fichier de données de protection dans Name et ajoutez éventuellement une description. Nous vous recommandons d’indiquer si le fichier de données de protection est destiné à être utilisé avec les machines virtuelles existantes ou nouvelles dans son nom pour faciliter la recherche.
  4. Sélectionnez Importer pour enregistrer les données de protection dans VMM.

Pour gérer vos fichiers de données de protection importés, accédez à Bibliothèque>vm Shielding Data (sous Profils).

Provisionner une nouvelle machine virtuelle protégée

  1. Vérifiez que vous disposez de tous les prérequis avant de commencer.
  2. Dans machines virtuelles et services, sélectionnez Créer une machine virtuelle pour ouvrir l’Assistant Création d’une machine virtuelle.
  3. Dans Sélectionner une source, sélectionnez Utiliser une machine virtuelle existante, un modèle de machine virtuelle ou un disque>dur virtuel Parcourir.
  4. Sélectionnez un modèle de machine virtuelle protégée ou un disque de modèle signé. Les deux sont identifiés par l’icône Image de l’icône Bouclier dans VMM.de bouclier .
  5. Dans Sélectionner le fichier de données de protection, sélectionnez Parcourir, puis sélectionnez un fichier de données de protection. Seuls les fichiers de données de protection qui peuvent être utilisés pour créer une machine virtuelle protégée sont affichés. Sélectionnez OK>Suivant pour continuer.
  6. Suivez ces instructions pour terminer l’Assistant et déployer la machine virtuelle sur un hôte/cloud.

Une fois l’Assistant terminé, VMM crée une machine virtuelle protégée à partir du disque ou du modèle :

  1. Le fichier de disque de modèle (VHDX) est copié à partir de la bibliothèque VMM.
  2. Le provisionnement de machines virtuelles déchiffre les données du fichier de données de protection, termine toutes les chaînes de substitution dans le fichier unattend.xml et copie des fichiers supplémentaires du fichier de données de protection vers le lecteur du système d’exploitation (par exemple, le certificat RDP).
  3. La machine virtuelle redémarre, est personnalisée et rechiffrée avec BitLocker. La clé de chiffrement de volume complet BitLocker est stockée dans le module TPM virtuel de la nouvelle machine virtuelle.
  4. La personnalisation de la machine virtuelle est terminée lorsque la commande d’arrêt dans le fichier unattend.xml s’exécute ; la machine virtuelle reste désactivée. Si la personnalisation est bloquée, vérifiez le fichier unattend.xml en l’exécutant sur une machine virtuelle non protégée ou en utilisant un fichier de données de protection pris en charge par le chiffrement qui autorise l’accès à la console.
  5. Une fois que VMM détecte que la spécialisation est terminée, elle met à jour son état pour indiquer que la machine virtuelle est créée et, si elle est sélectionnée, démarrez la machine virtuelle.

Protéger une machine virtuelle existante

Vous pouvez activer la protection pour une machine virtuelle en cours d’exécution sur un hôte dans l’infrastructure VMM qui n’est pas protégée.

  1. Vérifiez que vous avez tous les prérequis en place avant de commencer.
  2. Mettre la machine virtuelle hors connexion.
  3. Nous vous recommandons d’activer BitLocker sur tous les disques attachés à la machine virtuelle avant de le déplacer vers l’hôte protégé.
  4. Sélectionnez le bouclier des propriétés>de la machine virtuelle >et sélectionnez un fichier de données de protection.
  5. Arrêtez la machine virtuelle, exportez à partir d’un hôte non protégé et importez-la vers un hôte protégé. Seul un hôte protégé peut accéder aux données de la machine virtuelle.

Étapes suivantes

Passez en revue Gérer les paramètres de machine virtuelle pour découvrir comment configurer les paramètres de performances et de disponibilité des machines virtuelles.