Implementación del inicio de confianza para máquinas virtuales de Azure Arc en Azure Local, versión 23H2

Se aplica a: Azure Local, versión 23H2

En este artículo se describe cómo implementar el inicio seguro para máquinas virtuales (VM) de Azure Arc en Azure Local, versión 23H2.

Requisitos previos

Asegúrese de que tiene acceso a un sistema local de Azure, versión 23H2 que se implementa y registra en Azure. Para más información, consulte Implementación mediante Azure Portal.

Creación de una máquina virtual de Arc de inicio seguro

Puede crear una máquina virtual de inicio seguro mediante Azure Portal o mediante Interfaz de la línea de comandos de Azure (CLI). Use las pestañas siguientes para seleccionar un método.

Azure Portal

Para crear una máquina virtual de Arc de inicio seguro en Azure Local, siga los pasos descritos en Creación de máquinas virtuales de Arc en Azure Local mediante Azure Portal, con los siguientes cambios:

1. Al crear la máquina virtual, seleccione Máquinas virtuales de inicio seguro para el tipo de seguridad.

   

2. Seleccione una imagen del sistema operativo invitado de máquina virtual en la lista de imágenes admitidas:

   

3. Una vez creada una máquina virtual, vaya a la página de propiedades de la máquina virtual y compruebe que el tipo de seguridad que se muestra es Inicio de confianza.

   

CLI de Azure

Para crear una máquina virtual de Arc de inicio seguro en Azure Local, siga los pasos descritos en Creación de máquinas virtuales de Arc en Azure Local mediante la CLI de Azure, con los siguientes cambios:

1. Cree una imagen de máquina virtual mediante una imagen de sistema operativo invitado de máquina virtual compatible mediante el inicio de confianza desde Azure Marketplace. Para más información, consulte Creación de una imagen de máquina virtual local de Azure mediante Azure Marketplace.

2. Cree una máquina virtual mediante la CLI de la manera siguiente:

   $vmName="<Name of the VM>" 
   $subscription="<Subscription ID associated with your Azure Local system>" 
   $resourceGroup="<Resource group name for your Azure Local system>" 
   $location="<Location for your Azure Local system>" 
   $customLocationID=(az customlocation show --resource-group $resource_group --name "<custom location name for your Azure Local system>" --query id -o tsv) 
   $guestName="<Name of the guest>" 
   $userName="<Username for VM>" 
   $password="<Password for VM>" 
   $galleryImageName="<Name of VM guest image>" 
   $vNic="<Name of virtual network interface>" 
   
   az stack-hci-vm create --name $vmName --subscription $subscription --resource-group $resourceGroup --custom-location=$customLocationID --location $location --size="Default" --computer-name $guestName --admin-username $userName --admin-password $password --image $galleryImageName --nics $vNic --enable-secure-boot true --enable-vtpm true --security-type "TrustedLaunch"
   

   Salida del ejemplo:

   {
     "extendedLocation": {
       "name": "/subscriptions/myhci-sub/resourceGroups/myhci-rg/Microsoft.ExtendedLocation/customLocations/myhci-cl",
       "type": "CustomLocation"
     },
     "id": "/subscriptions/myhci-sub/resourceGroups/myhci-rg/providers/Microsoft.HybridCompute/machines/tvm1/providers/Microsoft.AzureStackHCI/virtualMachineInstances/default",
     "name": "default",
     "properties": {
       "hardwareProfile": {
         "dynamicMemoryConfig": {
           "maximumMemoryMb": null,
           "minimumMemoryMb": null,
           "targetMemoryBuffer": null
         },
         "memoryMb": 4096,
         "processors": 4,
         "vmSize": "Custom"
       },
       "instanceView": {
         "vmAgent": {
           "statuses": []
         }
       },
       "networkProfile": {
         "networkInterfaces": [
           {
             "id": "ram-nic"
           }
         ]
       },
       "osProfile": {
         "adminPassword": null,
         "adminUsername": "admin",
         "computerName": "myhci-tvm",
         "linuxConfiguration": {
           "disablePasswordAuthentication": null,
           "provisionVmAgent": false,
           "provisionVmConfigAgent": false,
           "ssh": {
             "publicKeys": null
           }
         },
         "windowsConfiguration": {
           "enableAutomaticUpdates": null,
           "provisionVmAgent": false,
           "provisionVmConfigAgent": false,
           "ssh": {
             "publicKeys": null
           },
           "timeZone": null
         }
       },
       "provisioningState": "Succeeded",
       "securityProfile": {
         "enableTpm": true,
         "securityType": "TrustedLaunch",
         "uefiSettings": {
           "secureBootEnabled": true
         }
       },
       "status": {
         "powerState": "Running"
       },
       "storageProfile": {
         "dataDisks": [],
         "imageReference": {
           "id": "/subscriptions/myhci-sub/resourceGroups/myhci-rg/providers/Microsoft.AzureStackHCI/marketplacegalleryimages/Win11EntMulti21H2",
           "resourceGroup": "myhci-rg"
         },
         "osDisk": {
           "id": null,
           "osType": "Windows"
         },
         "storagepathId": null
       },
       "vmId": "myhci-tvm-1234567890"
     },
     "resourceGroup": "myhci-rg",
     "systemData": {
       "createdAt": "2023-10-24T19:15:47.152610+00:00",
       "createdBy": "registration@contoso.com",
       "createdByType": "User",
       "lastModifiedAt": "2023-10-24T19:41:05.196469+00:00",
       "lastModifiedBy": "319f651f-7ddb-4fc6-9857-7aef9250bd05",
       "lastModifiedByType": "Application"
     },
     "tags": null,
     "type": "microsoft.azurestackhci/virtualmachineinstances"
   }
   

3. Una vez creada la máquina virtual, compruebe el tipo de seguridad de la máquina virtual como Inicio seguro.

4. Ejecute el siguiente cmdlet para buscar el nodo propietario de la máquina virtual:

   Get-ClusterGroup $vmName
   

5. Ejecute el siguiente cmdlet en el nodo propietario de la máquina virtual:

   (Get-VM $vmName).GuestStateIsolationType
   

6. Asegúrese de que se devuelve un valor de TrustedLaunch .

Ejemplo

En este ejemplo se muestra una máquina virtual de Arc de inicio seguro que ejecuta un invitado de Windows 11 con el cifrado de BitLocker habilitado. Estos son los pasos para ejercer el escenario:

1. Cree una máquina virtual de Arc de inicio de confianza que ejecute un sistema operativo invitado compatible con Windows 11.

2. Habilite el cifrado de BitLocker para el volumen del sistema operativo en el invitado win 11.

   Inicie sesión en el invitado de Windows 11 y habilite el cifrado de BitLocker (para el volumen del sistema operativo): en el cuadro de búsqueda de la barra de tareas, escriba Administrar BitLocker y, a continuación, selecciónelo en la lista de resultados. Seleccione Activar BitLocker y siga las instrucciones para cifrar el volumen del sistema operativo (C:). BitLocker usará vTPM como protector de claves para el volumen del sistema operativo.

3. Migre la máquina virtual a otro nodo del clúster. Ejecute el siguiente comando de PowerShell:

   Move-ClusterVirtualMachineRole -Name $vmName -Node <destination node name> -MigrationType Shutdown
   

4. Confirme que el nodo propietario de la máquina virtual es el nodo de destino especificado:

   Get-ClusterGroup $vmName
   

5. Una vez completada la migración de la máquina virtual, compruebe si la máquina virtual está disponible y BitLocker está habilitada.

6. Compruebe si puede iniciar sesión en el invitado de Windows 11 en la máquina virtual y si el cifrado de BitLocker para el volumen del sistema operativo permanece habilitado. Si puede hacerlo, esto confirma que el estado de vTPM se ha conservado durante la migración de la máquina virtual.

   Si el estado de vTPM no se conserva durante la migración de la máquina virtual, el inicio de la máquina virtual habría dado lugar a la recuperación de BitLocker durante el arranque de invitado. Es decir, se le habría pedido la contraseña de recuperación de BitLocker al intentar iniciar sesión en el invitado de Windows 11. Esto se debe a que las medidas de arranque (almacenadas en vTPM) de la máquina virtual migrada en el nodo de destino eran diferentes de la de la máquina virtual original.

7. Forzar la conmutación por error de la máquina virtual a otro nodo del clúster.

   1. Confirme el nodo propietario de la máquina virtual mediante este comando:

      Get-ClusterGroup $vmName
      

   2. Use el Administrador de clústeres de conmutación por error para detener el servicio de clúster en el nodo propietario de la siguiente manera: seleccione el nodo propietario tal como se muestra en el Administrador de clústeres de conmutación por error.  En el panel derecho Acciones , seleccione Más acciones y, después, Detener servicio de clúster.

   3. Detener el servicio de clúster en el nodo propietario hará que la máquina virtual se migre automáticamente a otro nodo disponible en el clúster. Reinicie el servicio de clúster después.

8. Una vez completada la conmutación por error, compruebe si la máquina virtual está disponible y BitLocker está habilitado después de la conmutación por error.

9. Confirme que el nodo propietario de la máquina virtual es el nodo de destino especificado:

   Get-ClusterGroup $vmName
   

Pasos siguientes

• Administre la clave de protección de estado de invitado de la máquina virtual arc de inicio seguro.