Azure Local バージョン 23H2 に Azure Arc VM の信頼された起動をデプロイする

適用対象: Azure Local バージョン 23H2

この記事では、Azure Local バージョン 23H2 に Azure Arc 仮想マシン (VM) の信頼された起動をデプロイする方法について説明します。

前提条件

Azure にデプロイおよび登録されている Azure Local バージョン 23H2 システムにアクセスできることを確認します。 詳細については、Azure portal を使用した デプロイに関するページを参照してください。

信頼された起動 Arc VM を作成する

信頼できる起動 VM は、Azure portal を使用するか、Azure コマンド ライン インターフェイス (CLI) を使用して作成できます。 以下のタブを使用して、メソッドを選択します。

Azure Portal

Azure Local で信頼できる起動 Arc VM を作成するには、「Azure Portal を使用して Azure Local で Arc 仮想マシンを作成するの手順に従います。次の変更があります。

1. VM の作成時に、セキュリティの種類として Trusted 起動仮想マシン を選択します。

   

2. サポートされているイメージの一覧から VM ゲスト OS イメージを選択します。

   

3. VM が作成されたら、 VM のプロパティ ページに移動し、表示されるセキュリティの種類が [信頼された起動 確認します。

   

Azure CLI

Azure Local で信頼された起動 Arc VM を作成するには、「Azure CLI を使用して Azure Local に Arc 仮想マシンを作成するの手順に従います。次の変更が加えられます。

1. Azure Marketplace からの信頼された起動によってサポートされている VM ゲスト OS イメージを使用して VM イメージを作成します。 詳細については、「 Azure Marketplace を使用して Azure ローカル VM イメージを作成するを参照してください。

2. 次のように CLI を使用して VM を作成します。

   $vmName="<Name of the VM>" 
   $subscription="<Subscription ID associated with your Azure Local system>" 
   $resourceGroup="<Resource group name for your Azure Local system>" 
   $location="<Location for your Azure Local system>" 
   $customLocationID=(az customlocation show --resource-group $resource_group --name "<custom location name for your Azure Local system>" --query id -o tsv) 
   $guestName="<Name of the guest>" 
   $userName="<Username for VM>" 
   $password="<Password for VM>" 
   $galleryImageName="<Name of VM guest image>" 
   $vNic="<Name of virtual network interface>" 
   
   az stack-hci-vm create --name $vmName --subscription $subscription --resource-group $resourceGroup --custom-location=$customLocationID --location $location --size="Default" --computer-name $guestName --admin-username $userName --admin-password $password --image $galleryImageName --nics $vNic --enable-secure-boot true --enable-vtpm true --security-type "TrustedLaunch"
   

   サンプル出力:

   {
     "extendedLocation": {
       "name": "/subscriptions/myhci-sub/resourceGroups/myhci-rg/Microsoft.ExtendedLocation/customLocations/myhci-cl",
       "type": "CustomLocation"
     },
     "id": "/subscriptions/myhci-sub/resourceGroups/myhci-rg/providers/Microsoft.HybridCompute/machines/tvm1/providers/Microsoft.AzureStackHCI/virtualMachineInstances/default",
     "name": "default",
     "properties": {
       "hardwareProfile": {
         "dynamicMemoryConfig": {
           "maximumMemoryMb": null,
           "minimumMemoryMb": null,
           "targetMemoryBuffer": null
         },
         "memoryMb": 4096,
         "processors": 4,
         "vmSize": "Custom"
       },
       "instanceView": {
         "vmAgent": {
           "statuses": []
         }
       },
       "networkProfile": {
         "networkInterfaces": [
           {
             "id": "ram-nic"
           }
         ]
       },
       "osProfile": {
         "adminPassword": null,
         "adminUsername": "admin",
         "computerName": "myhci-tvm",
         "linuxConfiguration": {
           "disablePasswordAuthentication": null,
           "provisionVmAgent": false,
           "provisionVmConfigAgent": false,
           "ssh": {
             "publicKeys": null
           }
         },
         "windowsConfiguration": {
           "enableAutomaticUpdates": null,
           "provisionVmAgent": false,
           "provisionVmConfigAgent": false,
           "ssh": {
             "publicKeys": null
           },
           "timeZone": null
         }
       },
       "provisioningState": "Succeeded",
       "securityProfile": {
         "enableTpm": true,
         "securityType": "TrustedLaunch",
         "uefiSettings": {
           "secureBootEnabled": true
         }
       },
       "status": {
         "powerState": "Running"
       },
       "storageProfile": {
         "dataDisks": [],
         "imageReference": {
           "id": "/subscriptions/myhci-sub/resourceGroups/myhci-rg/providers/Microsoft.AzureStackHCI/marketplacegalleryimages/Win11EntMulti21H2",
           "resourceGroup": "myhci-rg"
         },
         "osDisk": {
           "id": null,
           "osType": "Windows"
         },
         "storagepathId": null
       },
       "vmId": "myhci-tvm-1234567890"
     },
     "resourceGroup": "myhci-rg",
     "systemData": {
       "createdAt": "2023-10-24T19:15:47.152610+00:00",
       "createdBy": "registration@contoso.com",
       "createdByType": "User",
       "lastModifiedAt": "2023-10-24T19:41:05.196469+00:00",
       "lastModifiedBy": "319f651f-7ddb-4fc6-9857-7aef9250bd05",
       "lastModifiedByType": "Application"
     },
     "tags": null,
     "type": "microsoft.azurestackhci/virtualmachineinstances"
   }
   

3. VM が作成されたら、信頼された起動として VM のセキュリティの種類確認します。

4. 次のコマンドレットを実行して、VM の所有者ノードを見つけます。

   Get-ClusterGroup $vmName
   

5. VM の所有者ノードで次のコマンドレットを実行します。

   (Get-VM $vmName).GuestStateIsolationType
   

6. TrustedLaunch の値が返されていることを確認します。

例

この例では、BitLocker 暗号化が有効になっている Windows 11 ゲストを実行している信頼された起動 Arc VM を示します。 シナリオを実行する手順を次に示します。

1. サポートされている Windows 11 ゲスト オペレーティング システムを実行する信頼された起動 Arc VM を作成します。

2. Win 11 ゲストの OS ボリュームに対して BitLocker 暗号化を有効にします。

   Windows 11 ゲストにサインインし、BitLocker 暗号化を有効にします (OS ボリュームの場合): タスク バーの検索ボックスに「 Manage BitLocker」と入力し結果の一覧から選択します。 BitLocker でターンを選択し指示に従って OS ボリューム (C:) を暗号化します。 BitLocker では、OS ボリュームのキー保護機能として vTPM が使用されます。

3. VM をクラスター内の別のノードに移行します。 次の PowerShell コマンドを実行します。

   Move-ClusterVirtualMachineRole -Name $vmName -Node <destination node name> -MigrationType Shutdown
   

4. VM の所有者ノードが指定された宛先ノードであることを確認します。

   Get-ClusterGroup $vmName
   

5. VM の移行が完了したら、VM が使用可能で、BitLocker が有効になっていることを確認します。

6. VM で Windows 11 ゲストにログインできるかどうかを確認し、OS ボリュームの BitLocker 暗号化が有効なままかどうかを確認します。 これを行うことができる場合は、VM の移行中に vTPM 状態が保持されたことが確認されます。

   VM の移行中に vTPM 状態が保持されなかった場合、VM の起動により、ゲストの起動中に BitLocker 回復が発生します。 つまり、Windows 11 ゲストにログインしようとしたときに、BitLocker 回復パスワードの入力を求められます。 これは、移行先ノード上の移行された VM のブート測定値 (vTPM に格納) が元の VM とは異なるためです。

7. クラスター内の別のノードに VM を強制的にフェールオーバーします。

   1. 次のコマンドを使用して、VM の所有者ノードを確認します。

      Get-ClusterGroup $vmName
      

   2. フェールオーバー クラスター マネージャーを使用して、所有者ノードでクラスター サービスを停止します。フェールオーバー クラスター マネージャーに表示される所有者ノードを選択します。  Actions右側のウィンドウで、[その他のアクション]<を選択し、クラスター サービスのを選択します。

   3. 所有者ノードでクラスター サービスを停止すると、VM はクラスター内の別の使用可能なノードに自動的に移行されます。 後でクラスター サービスを再起動します。

8. フェールオーバーが完了したら、VM が使用可能で、フェールオーバー後に BitLocker が有効になっていることを確認します。

9. VM の所有者ノードが指定された宛先ノードであることを確認します。

   Get-ClusterGroup $vmName
   

次のステップ

• 信頼された起動 Arc VM ゲスト状態保護キーの管理。