Úvod do důvěryhodného spuštění pro virtuální počítače Azure Arc na lokální platformě Azure
Platí pro: Azure Local 2311.2 a novější
Tento článek představuje důvěryhodné spuštění pro virtuální počítače Azure Arc v místním prostředí Azure. Důvěryhodný spouštěcí virtuální počítač Arc můžete vytvořit pomocí webu Azure Portal nebo pomocí rozhraní příkazového řádku Azure (CLI).
Úvod
Důvěryhodné spuštění virtuálních počítačů Azure Arc podporuje zabezpečené spouštění, virtuální modul vTPM (vTPM) a přenos stavu virtuálního počítače vTPM, když se virtuální počítač migruje nebo převezme služby při selhání v rámci clusteru.
Důvěryhodné spuštění je typ zabezpečení, který je možné zadat při vytváření virtuálních počítačů Arc v Místním prostředí Azure. Další informace najdete v tématu Důvěryhodné spuštění virtuálních počítačů Azure Arc v místním prostředí Azure.
Funkce a výhody
| Schopnost | Výhoda |
|---|---|
| Zabezpečené spuštění | Pomáhá snížit riziko malwaru (rootkits) během spouštění ověřením, že spouštěcí komponenty jsou podepsány důvěryhodnými vydavateli. |
| vTPM | Virtualizovaná verze hardwarového čipu TPM, která slouží jako vyhrazený trezor pro klíče, certifikáty a tajné kódy. |
| Přenos stavu vTPM | Zachová virtuální počítač vTPM při migraci virtuálního počítače nebo převzetí služeb při selhání v rámci clusteru. |
| Zabezpečení na základě virtualizace (VBS) | Host na virtuálním počítači může vytvářet izolované oblasti paměti pomocí podpory VBS. |
Poznámka:
Ověření integrity spouštění hosta virtuálního počítače není k dispozici.
Pokyny
IgvmAgent je komponenta nainstalovaná na všech uzlech v místním systému Azure. Umožňuje podporu izolovaných virtuálních počítačů, jako jsou například důvěryhodné spouštěcí virtuální počítače Arc.
V rámci vytváření důvěryhodného spouštěcího virtuálního počítače Arc vytvoří Technologie Hyper-V soubory virtuálního počítače na disku pro uložení stavu virtuálního počítače. Ve výchozím nastavení je přístup k těmto souborům virtuálních počítačů omezený na správce hostitelského serveru. Správci hostitelů musí zajistit, aby umístění, kde jsou tyto soubory virtuálních počítačů uložené, zůstaly vždy odpovídajícím způsobem omezené na přístup.
Síťový provoz migrace za provozu virtuálního počítače není šifrovaný. Důrazně doporučujeme povolit technologii šifrování síťové vrstvy, jako je protokol IPsec, abyste ochránili síťový provoz migrace za provozu.
Image hostovaného operačního systému
Podporují se následující image hostovaného operačního systému virtuálního počítače z Azure Marketplace. Image virtuálního počítače je možné vytvořit pomocí webu Azure Portal nebo Azure CLI.
Další informace najdete v tématu Vytvoření image místního virtuálního počítače Azure pomocí Azure Marketplace.
| Název | Publisher | Nabízet | Skladová jednotka (SKU) | Číslo verze |
|---|---|---|---|---|
| Více relací Windows 11 Enterprise verze 22H2 – Gen2 | microsoftwindowsdesktop | windows-11 | win11-22h2-avd | 22621.2428.231001 |
| Více relací Windows 11 Enterprise, verze 22H2 + Microsoft 365 Apps (Preview) – Gen2 | microsoftwindowsdesktop | Windows11preview | win11-22h2-avd-m365 | 22621.382.220810 |
| Více relací Windows 11 Enterprise verze 21H2 – Gen2 | microsoftwindowsdesktop | windows-11 | win11-21h2-avd | 22000.2538.231001 |
| Více relací Windows 11 Enterprise, verze 21H2 + Microsoft 365 Apps – Gen2 | microsoftwindowsdesktop | office-365 | win10-21h2-avd-m365-g2 | 19044.3570.231010 |
Poznámka:
Image hosta virtuálního počítače získané mimo Azure Marketplace se nepodporují.