Nasazení důvěryhodného spuštění pro virtuální počítače Azure Arc v místním Prostředí Azure verze 23H2

Platí pro: Azure Local, verze 23H2

Tento článek popisuje, jak nasadit důvěryhodné spuštění pro virtuální počítače Azure Arc v místním Azure verze 23H2.

Požadavky

Ujistěte se, že máte přístup k místnímu systému Azure verze 23H2, který je nasazený a zaregistrovaný v Azure. Další informace najdete v tématu nasazení pomocí webu Azure Portal.

Vytvoření důvěryhodného spouštěcího virtuálního počítače Arc

Důvěryhodný spouštěcí virtuální počítač můžete vytvořit pomocí webu Azure Portal nebo pomocí rozhraní příkazového řádku Azure (CLI). Pomocí karet níže vyberte metodu.

Azure Portal

Pokud chcete vytvořit důvěryhodný spouštěcí virtuální počítač Arc v Azure Local, postupujte podle kroků v tématu Vytvoření virtuálních počítačů Arc v Azure Local pomocí webu Azure Portal s následujícími změnami:

1. Při vytváření virtuálního počítače vyberte důvěryhodné spouštěcí virtuální počítače pro typ zabezpečení.

   

2. Ze seznamu podporovaných imagí vyberte image hostovaného operačního systému virtuálního počítače:

   

3. Po vytvoření virtuálního počítače přejděte na stránku vlastností virtuálního počítače a ověřte, jestli je zobrazený typ zabezpečení důvěryhodným spuštěním.

   

Azure CLI

Pokud chcete vytvořit důvěryhodný spouštěcí virtuální počítač Arc v Azure Local, postupujte podle kroků v tématu Vytvoření virtuálních počítačů Arc v Azure Local pomocí Azure CLI s následujícími změnami:

1. Vytvoření image virtuálního počítače s využitím podporované image hostovaného operačního systému virtuálního počítače důvěryhodným spuštěním z Azure Marketplace Další informace najdete v tématu Vytvoření image místního virtuálního počítače Azure pomocí Azure Marketplace.

2. Vytvořte virtuální počítač pomocí rozhraní příkazového řádku následujícím způsobem:

   $vmName="<Name of the VM>" 
   $subscription="<Subscription ID associated with your Azure Local system>" 
   $resourceGroup="<Resource group name for your Azure Local system>" 
   $location="<Location for your Azure Local system>" 
   $customLocationID=(az customlocation show --resource-group $resource_group --name "<custom location name for your Azure Local system>" --query id -o tsv) 
   $guestName="<Name of the guest>" 
   $userName="<Username for VM>" 
   $password="<Password for VM>" 
   $galleryImageName="<Name of VM guest image>" 
   $vNic="<Name of virtual network interface>" 
   
   az stack-hci-vm create --name $vmName --subscription $subscription --resource-group $resourceGroup --custom-location=$customLocationID --location $location --size="Default" --computer-name $guestName --admin-username $userName --admin-password $password --image $galleryImageName --nics $vNic --enable-secure-boot true --enable-vtpm true --security-type "TrustedLaunch"
   

   Ukázkový výstup:

   {
     "extendedLocation": {
       "name": "/subscriptions/myhci-sub/resourceGroups/myhci-rg/Microsoft.ExtendedLocation/customLocations/myhci-cl",
       "type": "CustomLocation"
     },
     "id": "/subscriptions/myhci-sub/resourceGroups/myhci-rg/providers/Microsoft.HybridCompute/machines/tvm1/providers/Microsoft.AzureStackHCI/virtualMachineInstances/default",
     "name": "default",
     "properties": {
       "hardwareProfile": {
         "dynamicMemoryConfig": {
           "maximumMemoryMb": null,
           "minimumMemoryMb": null,
           "targetMemoryBuffer": null
         },
         "memoryMb": 4096,
         "processors": 4,
         "vmSize": "Custom"
       },
       "instanceView": {
         "vmAgent": {
           "statuses": []
         }
       },
       "networkProfile": {
         "networkInterfaces": [
           {
             "id": "ram-nic"
           }
         ]
       },
       "osProfile": {
         "adminPassword": null,
         "adminUsername": "admin",
         "computerName": "myhci-tvm",
         "linuxConfiguration": {
           "disablePasswordAuthentication": null,
           "provisionVmAgent": false,
           "provisionVmConfigAgent": false,
           "ssh": {
             "publicKeys": null
           }
         },
         "windowsConfiguration": {
           "enableAutomaticUpdates": null,
           "provisionVmAgent": false,
           "provisionVmConfigAgent": false,
           "ssh": {
             "publicKeys": null
           },
           "timeZone": null
         }
       },
       "provisioningState": "Succeeded",
       "securityProfile": {
         "enableTpm": true,
         "securityType": "TrustedLaunch",
         "uefiSettings": {
           "secureBootEnabled": true
         }
       },
       "status": {
         "powerState": "Running"
       },
       "storageProfile": {
         "dataDisks": [],
         "imageReference": {
           "id": "/subscriptions/myhci-sub/resourceGroups/myhci-rg/providers/Microsoft.AzureStackHCI/marketplacegalleryimages/Win11EntMulti21H2",
           "resourceGroup": "myhci-rg"
         },
         "osDisk": {
           "id": null,
           "osType": "Windows"
         },
         "storagepathId": null
       },
       "vmId": "myhci-tvm-1234567890"
     },
     "resourceGroup": "myhci-rg",
     "systemData": {
       "createdAt": "2023-10-24T19:15:47.152610+00:00",
       "createdBy": "registration@contoso.com",
       "createdByType": "User",
       "lastModifiedAt": "2023-10-24T19:41:05.196469+00:00",
       "lastModifiedBy": "319f651f-7ddb-4fc6-9857-7aef9250bd05",
       "lastModifiedByType": "Application"
     },
     "tags": null,
     "type": "microsoft.azurestackhci/virtualmachineinstances"
   }
   

3. Po vytvoření virtuálního počítače ověřte typ zabezpečení virtuálního počítače jako důvěryhodné spuštění.

4. Spuštěním následující rutiny vyhledejte uzel vlastníka virtuálního počítače:

   Get-ClusterGroup $vmName
   

5. Na uzlu vlastníka virtuálního počítače spusťte následující rutinu:

   (Get-VM $vmName).GuestStateIsolationType
   

6. Ujistěte se, že je vrácena hodnota TrustedLaunch .

Příklad

Tento příklad ukazuje důvěryhodný spouštěcí virtuální počítač Arc s hostem Windows 11 s povoleným šifrováním BitLockeru. Tady je postup, jak tento scénář vyzkoušet:

1. Vytvořte důvěryhodný spouštěcí virtuální počítač Arc s podporovaným hostujícím operačním systémem Windows 11.

2. Povolte šifrování BitLockeru pro svazek operačního systému u hosta Win 11.

   Přihlaste se k hostu Windows 11 a povolte šifrování BitLockeru (pro svazek operačního systému): Do vyhledávacího pole na hlavním panelu zadejte Spravovat BitLocker a pak ho vyberte ze seznamu výsledků. Vyberte Zapnout Nástroj BitLocker a pak postupujte podle pokynů k šifrování svazku operačního systému (C:). BitLocker použije virtuální počítač vTPM jako ochranu klíčem pro svazek operačního systému.

3. Migrujte virtuální počítač do jiného uzlu v clusteru. Spusťte následující příkaz PowerShellu:

   Move-ClusterVirtualMachineRole -Name $vmName -Node <destination node name> -MigrationType Shutdown
   

4. Ověřte, že je uzel vlastníka virtuálního počítače určeným cílovým uzlem:

   Get-ClusterGroup $vmName
   

5. Po dokončení migrace virtuálního počítače ověřte, jestli je virtuální počítač dostupný a jestli je povolený Nástroj BitLocker.

6. Ověřte, jestli se na virtuálním počítači můžete přihlásit k hostu Windows 11 a jestli je povolené šifrování BitLockeru pro svazek operačního systému. Pokud to můžete udělat, potvrdí se, že se během migrace virtuálního počítače zachoval stav virtuálního počítače.

   Pokud během migrace virtuálního počítače nedošlo k zachování stavu virtuálního počítače, spuštění virtuálního počítače by vedlo k obnovení BitLockeru během spouštění hosta. To znamená, že při pokusu o přihlášení k hostovi Windows 11 byste byli vyzváni k zadání hesla pro obnovení BitLockeru. Důvodem bylo to, že měření spouštění migrovaného virtuálního počítače (uložené vTPM) na cílovém uzlu se od původního virtuálního počítače liší.

7. Vynutit převzetí služeb virtuálního počítače při selhání do jiného uzlu v clusteru.

   1. Pomocí tohoto příkazu potvrďte uzel vlastníka virtuálního počítače:

      Get-ClusterGroup $vmName
      

   2. Pomocí Správce clusteru s podporou převzetí služeb při selhání zastavte službu clusteru na uzlu vlastníka následujícím způsobem: Vyberte uzel vlastníka zobrazený ve Správci clusteru s podporou převzetí služeb při selhání.  V pravém podokně Akce vyberte Další akce a pak vyberte Zastavit službu clusteru.

   3. Zastavení služby clusteru na uzlu vlastníka způsobí, že se virtuální počítač automaticky migruje do jiného dostupného uzlu v clusteru. Potom restartujte službu clusteru.

8. Po dokončení převzetí služeb při selhání ověřte, jestli je virtuální počítač dostupný, a po převzetí služeb při selhání je povolený Nástroj BitLocker.

9. Ověřte, že je uzel vlastníka virtuálního počítače určeným cílovým uzlem:

   Get-ClusterGroup $vmName
   

Další kroky

• Správa klíče ochrany stavu hosta virtuálního počítače Arc s důvěryhodným spuštěním