Distribuire Trusted Launch per le macchine virtuali di Azure Arc su Azure locale

Si applica a: Azure Locale 2311.2 e versioni successive

Questo articolo descrive come distribuire l'avvio attendibile per le macchine virtuali (VM) di Azure Arc in Locale di Azure.

Prerequisiti

Assicurarsi di avere accesso a un sistema locale di Azure distribuito e registrato con Azure. Per altre informazioni, vedere Deploy using the portale di Azure .

Creare una macchina virtuale Arc di avvio attendibile

È possibile creare una macchina virtuale di avvio attendibile usando portale di Azure o usando interfaccia della riga di comando di Azure (INTERFACCIA della riga di comando). Usare le schede seguenti per selezionare un metodo.

Azure portal

Per creare una macchina virtuale Arc di avvio attendibile in Locale di Azure, seguire la procedura descritta in Creare macchine virtuali Arc in Locale di Azure usando portale di Azure, con le modifiche seguenti:

1. Durante la creazione della macchina virtuale, selezionare Macchine virtuali di avvio attendibili per il tipo di sicurezza.

   

2. Selezionare un'immagine del sistema operativo guest della macchina virtuale dall'elenco delle immagini supportate:

   

3. Dopo aver creato una macchina virtuale, passare alla pagina delle proprietà della macchina virtuale e verificare che il tipo di sicurezza visualizzato sia Avvio attendibile.

   

Interfaccia della riga di comando di Azure

Per creare una macchina virtuale Arc di avvio attendibile in Locale di Azure, seguire la procedura descritta in Creare macchine virtuali Arc in Azure locale con l'interfaccia della riga di comando di Azure, con le modifiche seguenti:

1. Creare un'immagine di macchina virtuale usando un'immagine del sistema operativo guest della macchina virtuale supportata dall'avvio attendibile da Azure Marketplace. Per altre informazioni, vedere Creare un'immagine di macchina virtuale locale di Azure con Azure Marketplace.

2. Creare una macchina virtuale usando l'interfaccia della riga di comando come indicato di seguito:

   $vmName="<Name of the VM>" 
   $subscription="<Subscription ID associated with your Azure Local system>" 
   $resourceGroup="<Resource group name for your Azure Local system>" 
   $location="<Location for your Azure Local system>" 
   $customLocationID=(az customlocation show --resource-group $resource_group --name "<custom location name for your Azure Local system>" --query id -o tsv) 
   $guestName="<Name of the guest>" 
   $userName="<Username for VM>" 
   $password="<Password for VM>" 
   $galleryImageName="<Name of VM guest image>" 
   $vNic="<Name of virtual network interface>" 
   
   az stack-hci-vm create --name $vmName --subscription $subscription --resource-group $resourceGroup --custom-location=$customLocationID --location $location --size="Default" --computer-name $guestName --admin-username $userName --admin-password $password --image $galleryImageName --nics $vNic --enable-secure-boot true --enable-vtpm true --security-type "TrustedLaunch"
   

   Output di esempio:

   {
     "extendedLocation": {
       "name": "/subscriptions/myhci-sub/resourceGroups/myhci-rg/Microsoft.ExtendedLocation/customLocations/myhci-cl",
       "type": "CustomLocation"
     },
     "id": "/subscriptions/myhci-sub/resourceGroups/myhci-rg/providers/Microsoft.HybridCompute/machines/tvm1/providers/Microsoft.AzureStackHCI/virtualMachineInstances/default",
     "name": "default",
     "properties": {
       "hardwareProfile": {
         "dynamicMemoryConfig": {
           "maximumMemoryMb": null,
           "minimumMemoryMb": null,
           "targetMemoryBuffer": null
         },
         "memoryMb": 4096,
         "processors": 4,
         "vmSize": "Custom"
       },
       "instanceView": {
         "vmAgent": {
           "statuses": []
         }
       },
       "networkProfile": {
         "networkInterfaces": [
           {
             "id": "ram-nic"
           }
         ]
       },
       "osProfile": {
         "adminPassword": null,
         "adminUsername": "admin",
         "computerName": "myhci-tvm",
         "linuxConfiguration": {
           "disablePasswordAuthentication": null,
           "provisionVmAgent": false,
           "provisionVmConfigAgent": false,
           "ssh": {
             "publicKeys": null
           }
         },
         "windowsConfiguration": {
           "enableAutomaticUpdates": null,
           "provisionVmAgent": false,
           "provisionVmConfigAgent": false,
           "ssh": {
             "publicKeys": null
           },
           "timeZone": null
         }
       },
       "provisioningState": "Succeeded",
       "securityProfile": {
         "enableTpm": true,
         "securityType": "TrustedLaunch",
         "uefiSettings": {
           "secureBootEnabled": true
         }
       },
       "status": {
         "powerState": "Running"
       },
       "storageProfile": {
         "dataDisks": [],
         "imageReference": {
           "id": "/subscriptions/myhci-sub/resourceGroups/myhci-rg/providers/Microsoft.AzureStackHCI/marketplacegalleryimages/Win11EntMulti21H2",
           "resourceGroup": "myhci-rg"
         },
         "osDisk": {
           "id": null,
           "osType": "Windows"
         },
         "storagepathId": null
       },
       "vmId": "myhci-tvm-1234567890"
     },
     "resourceGroup": "myhci-rg",
     "systemData": {
       "createdAt": "2023-10-24T19:15:47.152610+00:00",
       "createdBy": "registration@contoso.com",
       "createdByType": "User",
       "lastModifiedAt": "2023-10-24T19:41:05.196469+00:00",
       "lastModifiedBy": "319f651f-7ddb-4fc6-9857-7aef9250bd05",
       "lastModifiedByType": "Application"
     },
     "tags": null,
     "type": "microsoft.azurestackhci/virtualmachineinstances"
   }
   

3. Dopo aver creato la macchina virtuale, verificare il tipo di sicurezza della macchina virtuale come avvio attendibile.

4. Eseguire il cmdlet seguente per trovare il nodo proprietario della macchina virtuale:

   Get-ClusterGroup $vmName
   

5. Eseguire il cmdlet seguente nel nodo proprietario della macchina virtuale:

   (Get-VM $vmName).GuestStateIsolationType
   

6. Verificare che venga restituito il valore TrustedLaunch .

Esempio

Questo esempio mostra una macchina virtuale Arc di avvio attendibile che esegue il guest Windows 11 con crittografia BitLocker abilitata. Ecco i passaggi per eseguire lo scenario:

1. Creare una macchina virtuale Arc di avvio attendibile che esegue un sistema operativo guest Windows 11 supportato.

2. Abilitare la crittografia BitLocker per il volume del sistema operativo nel guest Win 11.

   Accedere al guest Windows 11 e abilitare la crittografia BitLocker (per il volume del sistema operativo): nella casella di ricerca sulla barra delle applicazioni digitare Gestisci BitLocker e quindi selezionarla dall'elenco dei risultati. Selezionare Attiva BitLocker e quindi seguire le istruzioni per crittografare il volume del sistema operativo (C:). BitLocker userà vTPM come protezione con chiave per il volume del sistema operativo.

3. Eseguire la migrazione della macchina virtuale a un altro nodo nel cluster. Eseguire il comando PowerShell seguente:

   Move-ClusterVirtualMachineRole -Name $vmName -Node <destination node name> -MigrationType Shutdown
   

4. Verificare che il nodo proprietario della macchina virtuale sia il nodo di destinazione specificato:

   Get-ClusterGroup $vmName
   

5. Al termine della migrazione della macchina virtuale, verificare se la macchina virtuale è disponibile e BitLocker è abilitato.

6. Verificare se è possibile accedere al guest Windows 11 nella macchina virtuale e se la crittografia BitLocker per il volume del sistema operativo rimane abilitata. Se è possibile eseguire questa operazione, conferma che lo stato vTPM è stato mantenuto durante la migrazione della macchina virtuale.

   Se lo stato vTPM non è stato mantenuto durante la migrazione della macchina virtuale, l'avvio della macchina virtuale avrebbe causato il ripristino di BitLocker durante l'avvio guest. Ciò significa che è stata richiesta la password di ripristino di BitLocker quando si è tentato di accedere al guest di Windows 11. Ciò è dovuto al fatto che le misurazioni di avvio (archiviate nel vTPM) della macchina virtuale migrata nel nodo di destinazione sono diverse da quella della macchina virtuale originale.

7. Forzare il failover della macchina virtuale in un altro nodo nel cluster.

   1. Verificare il nodo proprietario della macchina virtuale usando questo comando:

      Get-ClusterGroup $vmName
      

   2. Usare Gestione cluster di failover per arrestare il servizio cluster nel nodo proprietario come indicato di seguito: Selezionare il nodo proprietario come visualizzato in Gestione cluster di failover.   Nel riquadro azioni a destra selezionare Altre azioni e quindi selezionare Arresta servizio cluster.

   3. L'arresto del servizio cluster nel nodo proprietario causerà la migrazione automatica della macchina virtuale a un altro nodo disponibile nel cluster. Riavviare il servizio cluster in seguito.

8. Al termine del failover, verificare se la macchina virtuale è disponibile e BitLocker è abilitato dopo il failover.

9. Verificare che il nodo proprietario della macchina virtuale sia il nodo di destinazione specificato:

   Get-ClusterGroup $vmName
   

Passaggi successivi

• Gestire la chiave di protezione dello stato guest della macchina virtuale Arc di avvio attendibile.