Примечание
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
В этой статье описывается, как развернуть защищенные узлы Hyper-V в структуре вычислительной среды Диспетчера виртуальных машин System Center (VMM). Узнайте больше о защищенной ткани.
Существует несколько способов настройки защищенных узлов Hyper-V в структуре VMM.
- Настройте существующий узел для защищенного узла: можно настроить существующий узел для запуска экранированных виртуальных машин.
-
Добавьте или настройте новый защищённый узел: этот узел может быть:
- Существующий компьютер Windows Server (с ролью Hyper-V или без нее)
- Компьютер без операционной системы
Вы настроили защищенные узлы в структуре VMM следующим образом:
Настройка глобальных параметров HGS: VMM подключает все защищенные узлы к одному серверу службы защиты узлов (HGS), чтобы можно было успешно перенести экранированные виртуальные машины между узлами. Вы указываете глобальные параметры HGS, которые применяются ко всем защищенным узлам, и можно указать параметры, относящиеся к узлу, которые переопределяют глобальные параметры. Используются следующие параметры.
- URL-адрес аттестации: URL-адрес, который узел использует для подключения к службе аттестации HGS. Эта служба разрешает узлу запускать экранированные виртуальные машины.
- URL-адрес сервера защиты ключей: URL, который хост использует для извлечения ключа, необходимого для расшифровки виртуальных машин. Хост должен пройти аттестацию для получения ключей.
- Политики целостности кода: политика целостности кода ограничивает программное обеспечение, которое может выполняться на защищенном узле. Если HGS настроено на использование аттестации доверенного платформенного модуля, защищенные узлы должны быть настроены для использования политики целостности кода, авторизованной сервером HGS. Вы можете указать расположение политик целостности кода в VMM и развернуть их на хостах. Это необязательно и не требуется для управления защищенной структурой.
- Вспомогательный VHD для экранирования ВМ: специально подготовленный виртуальный жесткий диск, используемый для преобразования существующих ВМ в экранированные. Этот параметр необходимо настроить, если вы хотите экранировать существующие виртуальные машины.
Настройте облако: Если защищенный узел будет включен в облако VMM, необходимо включить облако для поддержки экранированных виртуальных машин.
Перед началом работы
Перед продолжением убедитесь, что вы развернули и настроили службу защиты узла. Дополнительные сведения о настройке HGS см. в документации по Windows Server.
Кроме того, убедитесь, что все узлы, которые станут защищенными узлами, соответствуют предварительным требованиям защищенного узла:
- Операционная система: серверы узлов должны запускать Центр обработки данных Windows Server. Рекомендуется использовать Server Core для защищенных узлов.
- Роль и функции: Серверы-хосты должны иметь активированную роль Hyper-V и функцию поддержки Host Guardian Hyper-V. Поддержка Host Guardian Hyper-V позволяет узлу взаимодействовать с HGS, чтобы подтвердить работоспособность и запрос ключей для экранированных виртуальных машин. Если узел работает под управлением Nano Server, на нём должны быть установлены пакеты Compute, SCVMM-Package, SCVMM-Compute, SecureStartup и ShieldedVM.
-
Аттестация доверенного платформенного модуля (TPM): если для HGS настроено использование TPM-аттестации, серверы узлов должны:
- Использование UEFI 2.3.1c и модуля TPM 2.0
- Загрузка в режиме UEFI (не BIOS или устаревший режим)
- Включение безопасной загрузки
- Регистрация HGS: узлы Hyper-V должны быть зарегистрированы в HGS. Как они регистрируются, зависит от того, используется ли HGS аттестация AD или TPM. Подробнее
- Мгновенная миграция: Если вы хотите перенести виртуальные машины с защитой, необходимо развернуть два или более охраняемых узлов.
- Домен. Защищенные узлы и сервер VMM должны находиться в одном домене или в доменах с двусторонним доверием.
Настройка глобальных параметров HGS
Прежде чем добавлять защищенные узлы в вычислительную инфраструктуру VMM, необходимо настроить VMM с информацией о HGS для этой инфраструктуры. Те же HGS будут использоваться для всех защищенных хостов, управляемых VMM.
Получите URL-адреса аттестации и защиты ключей для вашей ткани от администратора HGS.
В консоли VMM выберите Параметры>Параметры службы защитника узла.
Введите URL-адреса аттестации и защиты ключей в соответствующих полях. В настоящее время вам не нужно настраивать политики целостности кода и вспомогательные секции VHD для экранирования ВМ.
Нажмите кнопку Готово, чтобы сохранить настройки.
Добавление или настройка нового защищенного узла
- Добавьте хост:
- Если вы хотите добавить существующий сервер под управлением Windows Server в качестве защищенного узла Hyper-V, добавьте его в структуру.
- Если вы хотите подготовить узел Hyper-V с компьютера без установленного ПО, следуйте этим предварительным требованиям и инструкциям.
Примечание.
При подготовке узла можно развернуть его как защищенный (Мастер добавления ресурсов >Настройки ОС>Настроить как защищенный узел).
- Перейдите к следующему разделу, чтобы настроить узел в качестве защищенного узла.
Настройте существующий узел как защищенный узел
Чтобы настроить существующий узел Hyper-V, управляемый VMM, защищенным узлом, выполните следующие действия.
Поместите хост в режим обслуживания.
В разделе Все узлы щелкните правой кнопкой мыши на узле, выберите >>.
Выберите функцию поддержки Host Guardian Hyper-V, чтобы включить её и настроить узел.
Примечание.
- URL-адреса глобальной аттестации и серверов защиты ключей будут заданы на хосте.
- Если вы изменяете эти URL-адреса за пределами консоли VMM, необходимо также обновить их в VMM. Если вы этого не сделали, VMM не будет размещать экранированные виртуальные машины на узле до тех пор, пока URL-адреса не будут совпадать. Можно также снять флажок Включить и снова установить его, чтобы перенастроить узел с URL-адресами, настроенными в VMM.
Если вы используете VMM для управления политиками целостности кода, можно включить второй флажок и выбрать соответствующую политику для системы.
Нажмите кнопку "ОК ", чтобы обновить конфигурацию узла.
Вывести сервер из режима обслуживания.
VMM проверяет, проходит ли узел аттестацию, когда вы добавляете его и каждый раз, когда обновляется статус узла. VMM развертывает и переносит экранированные виртуальные машины только на узлах, которые прошли аттестацию. Вы можете проверить состояние аттестации узла в разделах Свойства, > и Клиент HGS в целом.
Включение защищенных узлов в облаке VMM
Включите облако для поддержки защищенных узлов:
- В консоли VMM выберите Виртуальные машины и службы>Облака. Щелкните правой кнопкой мыши имя облака и выберите >.
- В общей поддержке экранированных виртуальных машин выберите "Поддерживается" в этом частном облаке.>
Управление и развертывание политик целостности кода с помощью VMM
В защищенных структурах, настроенных для использования аттестации доверенного платформенного модуля, каждый узел должен быть настроен с помощью политики целостности кода, доверенной службой защиты узла. Чтобы упростить управление политиками целостности кода, можно также использовать VMM для развертывания новых или обновленных политик на защищенных узлах.
Чтобы развернуть политику целостности кода в защищенном узле, управляемом VMM, выполните следующие действия:
- Создайте политику целостности кода для каждого узла ссылок в вашей среде. Вам нужна другая политика CI для каждой уникальной аппаратной и программной конфигурации защищенных узлов.
- Сохраните политики CI в защищенном файловом хранилище. Учетные записи компьютера для каждого защищенного узла требуют права на чтение для общего ресурса. Только доверенные администраторы должны иметь доступ на запись.
- В консоли VMM выберите Параметры>Параметры службы защитника узла.
- В разделе "Политики целостности кода" выберите " Добавить " и укажите понятное имя и путь к политике CI. Повторите этот шаг для каждой уникальной политики CI. Обязательно присвойте политикам название таким образом, чтобы помочь определить, какую политику применять к каким узлам.
- Нажмите кнопку Готово, чтобы сохранить настройки.
Теперь для каждого защищенного узла выполните следующие действия, чтобы применить политику целостности кода:
Поместите хост в режим обслуживания.
В разделе Все узлы щелкните правой кнопкой мыши на узле, выберите >>.
Выберите, чтобы включить параметр настройки узла с политикой целостности кода. Затем выберите соответствующую политику для системы.
Нажмите кнопку "ОК ", чтобы применить изменение конфигурации. Хост может перезагрузить систему, чтобы применить новую политику.
Вывести узел из режима обслуживания.
Предупреждение
Убедитесь, что выбрана правильная политика целостности кода для узла. Если несовместимая политика применяется к узлу, некоторые приложения, драйверы или компоненты операционной системы больше не работают.
Если вы обновляете политику целостности кода в общей папке и хотите также обновить защищенные узлы, выполните следующие действия.
- Поместите хост в режим обслуживания.
- В разделе Все узлы щелкните правой кнопкой мыши на узле >, затем выберите Применить последнюю политику целостности кода.
- Вывести узел из режима обслуживания.
Следующие шаги
- Настройте экранированный диск шаблона, диск служебной программы и шаблон виртуальной машины.