Ověření Azure pro virtuální počítače v místním prostředí Azure

Platí pro: Azure Local, verze 23H2

Microsoft Azure nabízí celou řadu diferencovaných úloh a možností, které jsou navržené tak, aby běžely jenom v Azure. Azure Local rozšiřuje řadu stejných výhod, které získáte z Azure, a zároveň běží na stejných známých a vysoce výkonných místních nebo hraničních prostředích.

Ověření Azure pro virtuální počítače umožňuje podporovaným úlohám s výhradním využitím Azure pracovat mimo cloud. Tato funkce, která je modelovaná po službě ověřování IMDS v Azure, je integrovaná služba ověřování platformy, která je ve výchozím nastavení povolená v Azure Local verze 23H2 nebo novější. Pomáhá poskytovat záruky pro tyto virtuální počítače, aby fungovaly v jiných prostředích Azure.

Další informace o předchozí verzi této funkce na místní platformě Azure verze 22H2 nebo starší najdete v tématu Výhody Azure v Azure Local.

Výhody dostupné v Azure Local

Ověření Azure pro virtuální počítač umožňuje používat tyto výhody, které jsou k dispozici pouze v místním Prostředí Azure:

Úloha	Co to je	Jak získat výhody
Rozšířená aktualizace zabezpečení (ESU)	Získejte aktualizace zabezpečení bez dalších poplatků za sql a virtuální počítače s Windows Serverem v Azure Local. Další informace najdete v tématu Bezplatné rozšířené aktualizace zabezpečení (ESU) v místním prostředí Azure.	U starších virtuálních počítačů se systémem Windows Server 2012 nebo starší s nejnovějšími aktualizacemi zásobníku údržby musíte povolit podporu starších operačních systémů.
Azure Virtual Desktop (AVD)	Hostitelé relací AVD můžou běžet jenom v infrastruktuře Azure. Aktivujte virtuální počítače s Více relacemi Windows v Azure Local pomocí ověřování virtuálních počítačů Azure. Licenční požadavky pro AVD stále platí. Podívejte se na ceny služby Azure Virtual Desktop.	Aktivované automaticky pro virtuální počítače s windows 11 ve více relacích s aktualizací 4B vydané 9. dubna 2024 (22H2: KB5036893, 21H2: KB5036894) nebo novější. Je nutné povolit podporu starší verze operačního systému pro virtuální počítače s více relacemi Windows 10 s aktualizací 4B vydané 9. dubna 2024 KB5036892 nebo novější.
Windows Server Datacenter: Azure Edition	Virtuální počítače Azure Edition můžou běžet jenom na infrastruktuře Azure. Aktivujte virtuální počítače Se systémem Windows Server Azure Edition a využijte nejnovější inovace Windows Serveru a další exkluzivní funkce. Licenční požadavky stále platí. Podívejte se, jak licencovat virtuální počítače s Windows Serverem v Místním prostředí Azure.	Aktivovalo se automaticky pro virtuální počítače se systémem Windows Server Azure Edition 2022 s aktualizací 4B vydané 9. dubna 2024 (KB5036909) nebo novější.
Azure Update Manager	Získejte Azure Update Manager bez poplatků. Tato služba poskytuje řešení SaaS pro správu a řízení aktualizací softwaru pro virtuální počítače v Azure Local.	K dispozici automaticky pro virtuální počítače Arc vytvořené prostřednictvím Arc Resource Bridge v místním prostředí Azure. Pomocí Programu Software Assurance můžete svůj počítač otestovat pomocí výhod a licencí Arc Pro Windows Server Azure a získat AUM zdarma. Další informace najdete v tématu Azure Update Manager – nejčastější dotazy.
Konfigurace hosta služby Azure Policy	Získejte konfiguraci hosta azure Policy bez poplatků. Toto rozšíření Arc umožňuje auditování a konfiguraci nastavení operačního systému jako kód pro počítače a virtuální počítače.	Agent Arc verze 1.39 nebo novější. Podívejte se na nejnovější verzi agenta Arc.

Poznámka:

Pokud chcete zajistit nepřetržitou funkčnost, aktualizujte své virtuální počítače v Azure Local na nejnovější kumulativní aktualizaci do 17. června 2024. Tato aktualizace je nezbytná pro virtuální počítače, aby dál používaly výhody Azure. Další informace najdete v blogovém příspěvku Azure Local.

Správa ověřování virtuálních počítačů Azure

Ověření virtuálního počítače Azure se ve výchozím nastavení automaticky povolí v místním Azure verze 23H2 nebo novějším. Následující pokyny popisují požadavky pro použití této funkce a kroky pro správu výhod (volitelné).

Poznámka:

Pokud chcete povolit rozšířené aktualizace zabezpečení (ESU), musíte provést další nastavení a zapnout podporu starší verze operačního systému.

Požadavky na hostitele

• Ujistěte se, že máte přístup k místnímu Azure verze 23H2. Všechny počítače musí být online, zaregistrované a nasazený systém. Další informace najdete v tématu Registrace počítačů ve službě Arc a v tématu Nasazení prostřednictvím webu Azure Portal.
• Nainstalujte Hyper-V a RSAT-Hyper-V-Tools.
• (Volitelné) Pokud používáte Windows Admin Center, musíte nainstalovat rozšíření Správce clusteru (verze 2.319.0) nebo novější.

Požadavky na virtuální počítač

• Nezapomeňte aktualizovat virtuální počítače. Podívejte se na požadavky na verzi pro úlohy.

• Zapněte rozhraní hostované služby Technologie Hyper-V. Přečtěte si pokyny pro Windows Admin Center nebo PowerShell.

Ověření virtuálního počítače Azure můžete spravovat pomocí Centra pro správu Windows nebo PowerShellu nebo zobrazit jeho stav pomocí Azure CLI nebo webu Azure Portal. Jednotlivé možnosti jsou popsané v následujících částech.

Azure Portal

1. Na stránce místního prostředku Azure přejděte na kartu Konfigurace .

2. V rámci funkce ověření Azure pro virtuální počítače zobrazte stav ověření hostitele.

   

Azure CLI

Azure CLI je k dispozici k instalaci v prostředích s Windows, macOS a Linuxem. Dá se spustit také v Azure Cloud Shellu. Tato část popisuje, jak používat Bash v Azure Cloud Shellu. Další informace najdete v tématu Rychlý start pro Azure Cloud Shell.

Spusťte Azure Cloud Shell a pomocí Azure CLI zkontrolujte ověření virtuálního počítače Azure pomocí následujících kroků:

1. Nastavte parametry z vašeho předplatného, skupiny prostředků a názvu clusteru.

   subscription="00000000-0000-0000-0000-000000000000" # Replace with your subscription ID
   resourceGroup="local-rg" # Replace with your resource group name
   clusterName="LocalCluster" # Replace with your cluster name
   
   az account set --subscription "${subscription}"
   

2. Pokud chcete zobrazit stav ověření virtuálního počítače Azure v clusteru, spusťte následující příkaz:

   az stack-hci cluster list \
   --resource-group "${resourceGroup}" \
   --query "[?name=='${clusterName}'].{Name:name, AzureBenefitsHostAttestation:reportedProperties.imdsAttestation}" \
   -o table
   

Centrum pro správu Windows

Kontrola stavu počítače s ověřením virtuálního počítače Azure

1. V Centru pro správu Windows vyberte v horní rozevírací nabídce Správce clusteru, přejděte do systému, který chcete aktivovat, a pak v části Nastavení vyberte ověření Azure pro virtuální počítače.

2. Postup kontroly stavu počítače azure pro ověření virtuálního počítače:

   • Stav na úrovni clusteru: Stav hostitele se zobrazí jako Zapnuto.

   • Stav na úrovni serveru: Na kartě Server na řídicím panelu zkontrolujte, jestli se stav každého počítače zobrazuje jako Aktivní v tabulce.

     

Řešení potíží s počítači

• Pokud se jeden nebo více počítačů zobrazí na kartě Server, jako vypršela platnost:
  • Pokud se počítač nesynchronizuje s Azure déle než 30 dní, zobrazí se jeho stav jako Neaktivní nebo Vypršela platnost. Výběrem možnosti Synchronizovat s Azure naplánujte ruční synchronizaci.

Správa výhod aktivovaných na virtuálních počítačích

1. Pokud chcete zjistit, jaké výhody jsou na virtuálních počítačích aktivované, přejděte na kartu Virtuální počítače .

2. Na řídicím panelu se zobrazuje počet virtuálních počítačů s:

   • Aktivní výhody: Tyto virtuální počítače mají aktivované exkluzivní funkce Azure prostřednictvím ověřování virtuálních počítačů Azure.
   • Neaktivní výhody: Tyto virtuální počítače mají exkluzivní funkce Azure, které před aktivací potřebují další akci.
   • Neznámé: Nemůžeme určit oprávněné výhody pro tyto virtuální počítače, protože výměna dat Hyper-V je vypnutá. Podívejte se na následující část pro řešení potíží.
   • Žádné použitelné výhody: Tyto virtuální počítače nemají exkluzivní funkce Azure, a proto nevyžadují ověření virtuálního počítače Azure.

3. V tabulce se zobrazí oprávněná výhoda , která se vztahuje na každý virtuální počítač. Podívejte se na úplný seznam výhod dostupných v Azure Local.

   

Řešení potíží s virtuálními počítači

• Pokud se na kartě Virtuální počítače zobrazí jedna nebo více virtuálních počítačů jako neaktivní výhody:

  • Pokud je navržená akce instalace aktualizací, možná nemáte pro tuto výhodu požadovanou minimální verzi operačního systému. Aktualizujte virtuální počítač tak, aby splňoval požadavky na verzi pro úlohy.
  • Pokud je navržená akce zapnout rozhraní služby hosta, vyberte ho a otevřete kontextové podokno a povolte rozhraní služby hosta Technologie Hyper-V. Tato funkce se vyžaduje, aby virtuální počítače komunikují s hostitelem přes VMbus.
  • Pokud se jedná o navrženou akci týkající se podpory starší verze operačního systému, přečtěte si téma řešení potíží se starší podporou operačního systému.

• Pokud se jeden nebo více virtuálních počítačů zobrazí na kartě Virtuální počítače jako Neznámý:

  • Pokud chcete určit výhody dostupné pro tyto virtuální počítače, můžete to udělat ručně tak, že zkontrolujete úplný seznam výhod dostupných v místním prostředí Azure nebo Centrum pro správu Windows tyto informace zobrazí. Pokud chcete získat přístup k informacím prostřednictvím Centra pro správu Windows, povolte pro své virtuální počítače výměnu dat Hyper-V tak, že vyberete akci s popiskem Zapnout výměnu dat Hyper-V.

PowerShell

Kontrola stavu počítače s ověřením virtuálního počítače Azure

• Po úspěšném nastavení ověření virtuálního počítače Azure můžete zobrazit stav hostitele. Zkontrolujte systémovou vlastnost IMDS Attestation spuštěním následujícího příkazu:

  Get-AzureStackHCI
  

• Pokud chcete zobrazit stav ověření virtuálního počítače Azure pro počítače, spusťte následující příkaz:

  Get-AzureStackHCIAttestation [[-ComputerName] <string>]
  

Řešení potíží s počítači

• Pokud se ověření virtuálního počítače Azure pro jeden nebo více počítačů ještě nesynchronizuje a prodlouží s Azure, může se zobrazit jako neaktivní nebo vypršela platnost. Naplánování ruční synchronizace:

  Sync-AzureStackHCI
  

Správa výhod aktivovaných na virtuálních počítačích

• Pokud chcete zkontrolovat přístup k ověřování virtuálních počítačů Azure pro virtuální počítače, spusťte následující příkaz:

  Get-AzStackHCIVMAttestation
  

  Poznámka:

  Virtuální počítač podporovaný pro v2 může komunikovat s počítačem pomocí nástroje VMBus. Naopak podporovaný virtuální počítač v1 je nakonfigurovaný se starší podporou operačního systému a má přístup k ověřování virtuálních počítačů Azure přes REST. Pokud virtuální počítač podporuje v1 i v2, použije se primárně metoda v2 (tj. VMBus), ale pokud dojde k problému, může se vrátit k v1.

Řešení potíží s virtuálními počítači

• Pokud chcete nastavit přístup k ověřování virtuálních počítačů Azure pro virtuální počítače, můžete povolit rozhraní hostované služby Hyper-V.

  Pokud chcete zkontrolovat, jestli je povolené rozhraní hostované služby Hyper-V, spusťte:

  Get-VMIntegrationService [[-VMName] <VMName>] -Name "Guest Service Interface"
  

• Zapnutí rozhraní služby hosta Technologie Hyper-V:

  Enable-VMIntegrationService [[-VMName] <VMName>] -Name "Guest Service Interface"
  

• Pokud chcete zkontrolovat, že virtuální počítače mají přístup k ověření virtuálního počítače Azure na hostiteli, spusťte na hostiteli následující příkaz:

  Invoke-RestMethod -Headers @{"Metadata"="true"} -Method GET -Uri "http://127.0.0.1:42542/metadata/attested/document?api-version=2018-10-01" –usedefaultcredentials
  

Podpora starší verze operačního systému

U starších virtuálních počítačů, které nemají potřebné funkce Technologie Hyper-V (rozhraní služby hosta) pro komunikaci přímo s hostitelem, musíte nakonfigurovat tradiční síťové komponenty pro ověření virtuálního počítače Azure. Pokud máte tyto úlohy, jako jsou rozšířené aktualizace zabezpečení (ESU), nastavte podporu starších operačních systémů podle pokynů v této části.

Azure Portal

Starší verzi podpory operačního systému teď nemůžete zobrazit na webu Azure Portal.

Azure CLI

Azure CLI je k dispozici k instalaci v prostředích s Windows, macOS a Linuxem. Dá se spustit také v Azure Cloud Shellu. Tato část popisuje, jak používat Bash v Azure Cloud Shellu. Další informace najdete v rychlém startu pro Azure Cloud Shell.

Spusťte Azure Cloud Shell a pomocí Azure CLI zkontrolujte ověření virtuálního počítače Azure pomocí následujícího postupu:

1. Nastavte parametry z vašeho předplatného, skupiny prostředků a názvu clusteru:

   subscription="00000000-0000-0000-0000-000000000000" # Replace with your subscription ID
   resourceGroup="local-rg" # Replace with your resource group name
   clusterName="LocalCluster" # Replace with your cluster name
   
   az account set --subscription "${subscription}"
   

2. Pokud chcete zobrazit stav podpory starší verze operačního systému v clusteru, spusťte následující příkaz:

   az stack-hci cluster list \
   --resource-group "${resourceGroup}" \
   --query "[?name=='${clusterName}'].{Name:name, AzureBenefitsHostAttestation:reportedProperties.supportedCapabilities}" \
   -o table
   

Centrum pro správu Windows

1. Zapnutí podpory starší verze operačního systému na hostiteli

1. V Centru pro správu Windows vyberte v horní rozevírací nabídce Správce clusteru, přejděte do systému, který chcete aktivovat, a pak v části Nastavení vyberte ověření Azure pro virtuální počítače.

2. V části podpora starší verze operačního systému vyberte Změnit stav. V kontextovém podokně vyberte Zapnuto . Toto nastavení také umožňuje síťový přístup pro všechny existující virtuální počítače. U všech nových virtuálních počítačů, které vytvoříte později, musíte ručně zapnout podporu starší verze operačního systému.

3. Potvrďte akci výběrem možnosti Změnit stav . Může trvat několik minut, než se změny projeví v počítačích.

4. Pokud je podpora starší verze operačního systému úspěšně zapnutá:

   • Zkontrolujte, jestli se podpora starší verze operačního systému zobrazuje jako Zapnuto.

   • Na kartě Server na řídicím panelu zkontrolujte, jestli se starší verze podpory operačního systému pro každý počítač zobrazuje jako Zapnuto v tabulce.

     

2. Povolení přístupu pro nové virtuální počítače

Pro všechny nové virtuální počítače, které vytvoříte po prvním nastavení, musíte povolit starší síť operačního systému. Pokud chcete spravovat přístup k virtuálním počítačům, přejděte na kartu virtuálních počítačů . Jakýkoli virtuální počítač, který vyžaduje podporu starší verze operačního systému, se zobrazí jako Neaktivní. Vyberte akci pro nastavení starších sítí operačního systému pro vybraný virtuální počítač nebo pro všechny existující virtuální počítače v systému.

Poznámka:

Pokud chcete úspěšně povolit podporu starších operačních systémů na virtuálních počítačích generace 1, musí být virtuální počítač nejprve vypnutý, aby bylo možné síťové rozhraní přidat.

PowerShell

1. Zapnutí podpory starší verze operačního systému na hostiteli

• V místním prostředí Azure spusťte následující příkaz z okna PowerShellu se zvýšenými oprávněními:

  Enable-AzStackHCIAttestation
  

• Nebo pokud chcete přidat všechny existující virtuální počítače při instalaci, můžete spustit následující příkaz:

  Enable-AzStackHCIAttestation -AddVM
  

• Zkontrolujte, jestli je zapnutá podpora starší verze operačního systému:

  Get-AzureStackHCIAttestation [[-ComputerName] <string>]
  

Řešení potíží s počítači

• Pokud chcete v systému vypnout a resetovat podporu starší verze operačního systému, spusťte následující příkaz:

  Disable-AzStackHCIAttestation -RemoveVM
  

2. Povolení přístupu pro virtuální počítače

• Pokud chcete nakonfigurovat síťový přístup pro vybrané virtuální počítače, spusťte na místním prostředí Azure následující příkaz:

  Add-AzStackHCIVMAttestation [-VMName]
  

• Pokud chcete přidat všechny existující virtuální počítače, spusťte následující příkaz:

  Add-AzStackHCIVMAttestation -AddAll
  

• Získejte seznam virtuálních počítačů, které mají přístup ke starší podpoře operačního systému:

  Get-AzStackHCIVMAttestation
  

  Poznámka:

  Pokud chcete úspěšně povolit podporu starších operačních systémů na virtuálních počítačích generace 1, musí být virtuální počítač nejprve vypnutý, aby bylo možné síťové rozhraní přidat.

Řešení potíží s virtuálními počítači

• Odebrání přístupu ke starší verzi podpory operačního systému pro vybrané virtuální počítače:

  Remove-AzStackHCIVMAttestation -VMName <string>
  

  Nebo odebrání přístupu pro všechny existující virtuální počítače:

  Remove-AzStackHCIVMAttestation -RemoveAll
  

• Pokud chcete zkontrolovat, jestli mají virtuální počítače přístup ke starší podpoře operačního systému na hostiteli, spusťte na virtuálním počítači následující příkaz:

  Invoke-RestMethod -Headers @{"Metadata"="true"} -Method GET -Uri http://169.254.169.253:80/metadata/attested/document?api-version=2018-10-01
  

Často kladené dotazy

Tato část obsahuje odpovědi na některé nejčastější dotazy týkající se používání výhod Azure.

Jaké exkluzivní úlohy Azure můžu povolit s ověřováním virtuálních počítačů Azure?

Úplný seznam najdete tady.

Stojí za to něco, aby bylo možné povolit ověřování virtuálních počítačů Azure?

Ne. Zapnutím ověřování virtuálních počítačů Azure se neúčtují žádné další poplatky.

Můžu použít ověřování virtuálních počítačů Azure v jiných prostředích než Azure Local?

Ne. Ověření virtuálního počítače Azure je funkce integrovaná do místního Prostředí Azure a dá se použít jenom v místním Prostředí Azure.

Pokud jsem právě upgradoval na verzi 23H2 z verze 22H2 a dříve jsem zapnul(a) funkci Výhod Azure, musím udělat něco nového?

Pokud jste upgradovali systém, který dříve měl výhody Azure v místním prostředí Azure nastavené pro vaše úlohy, nemusíte při upgradu na Místní Azure verze 23H2 nic dělat. Po upgradu zůstane tato funkce povolená a je zapnutá i podpora starší verze operačního systému. Pokud ale chcete použít vylepšený způsob komunikace mezi virtuálními počítači přes sběrnici virtuálních počítačů ve verzi 23H2, ujistěte se, že máte požadované požadavky na hostitele a požadavky na virtuální počítač.

Právě jsem nastavil ověřování virtuálních počítačů Azure v systému. Návody zajistit, aby ověřování virtuálních počítačů Azure zůstalo aktivní?

• Ve většině případů není nutná žádná akce uživatele. Azure Local při synchronizaci s Azure automaticky prodlouží ověření virtuálního počítače Azure.
• Pokud se ale systém po dobu delší než 30 dnů odpojí a ověření virtuálního počítače Azure se zobrazí jako prošlé, můžete ručně synchronizovat pomocí PowerShellu a Centra pro správu Windows. Další informace najdete v tématu Synchronizace místního prostředí Azure.

Co se stane, když nasadím nové virtuální počítače nebo odstraním virtuální počítače?

• Když nasadíte nové virtuální počítače, které vyžadují ověření virtuálního počítače Azure, automaticky se aktivují, pokud mají správné požadavky na virtuální počítač.

• U starších virtuálních počítačů, které používají podporu starší verze operačního systému, ale můžete ručně přidat nové virtuální počítače pro přístup k ověřování virtuálních počítačů Azure pomocí Centra pro správu Windows nebo PowerShellu pomocí předchozích pokynů.

• Virtuální počítače můžete i nadále odstraňovat a migrovat jako obvykle. Síťová karta AZSHCI_GUEST-IMDS_DO_NOT_MODIFY po migraci na virtuálním počítači stále existuje. Pokud chcete před migrací vyčistit síťovou kartu, můžete odebrat virtuální počítače z ověřování virtuálních počítačů Azure pomocí Centra pro správu Windows nebo PowerShellu pomocí předchozích pokynů pro podporu starších operačních systémů nebo můžete nejprve migrovat a ručně odstranit síťové karty.

Co se stane, když přidám nebo odeberu počítače?

• Když přidáte počítač, aktivuje se automaticky, pokud má správné požadavky na hostitele.
• Pokud používáte podporu starší verze operačního systému, možná budete muset tyto počítače povolit ručně. Spusťte Enable-AzStackHCIAttestation [[-ComputerName] <String>] v PowerShellu. Počítače můžete i nadále odstraňovat nebo je z systému odebírat obvyklým způsobem. Nástroj vSwitch AZSHCI_HOST-IMDS_DO_NOT_MODIFY stále existuje na počítači po odebrání ze systému. Pokud chcete počítač později přidat zpět do systému, můžete ho nechat, nebo ho můžete odebrat ručně.

Další kroky

• Rozšířené aktualizace zabezpečení (ESU) v Azure Local.
• Místní přehled Azure
• Místní nejčastější dotazy k Azure