Vertrouwde start implementeren voor Azure Arc-VM's op Azure Local, versie 23H2
Van toepassing op: Azure Local, versie 23H2
In dit artikel wordt beschreven hoe u vertrouwde lancering implementeert voor virtuele Azure Arc-machines (VM's) in Azure Local, versie 23H2.
Vereisten
Zorg ervoor dat u toegang hebt tot een lokaal Azure-systeem, versie 23H2 dat is geïmplementeerd en geregistreerd bij Azure. Zie Implementeren met behulp van Azure Portal voor meer informatie.
Een vertrouwde start arc-VM maken
U kunt een vertrouwde start-VM maken met behulp van Azure Portal of met behulp van De Opdrachtregelinterface (CLI) van Azure. Gebruik de onderstaande tabbladen om een methode te selecteren.
Volg de stappen in de virtuele Arc-machines maken in Azure Local met behulp van Azure Portal om een vertrouwde start-Arc-VM te maken in Azure Local , met de volgende wijzigingen:
Selecteer tijdens het maken van de virtuele machine vertrouwde start-VM's voor het beveiligingstype.
Selecteer een vm-installatiekopieën voor gastbesturingssystemen in de lijst met ondersteunde installatiekopieën:
Zodra een VIRTUELE machine is gemaakt, gaat u naar de pagina met VM-eigenschappen en controleert u of het weergegeven beveiligingstype vertrouwd wordt gestart.
Opmerking
In dit voorbeeld ziet u een vertrouwde Start arc-VM met Windows 11-gast waarvoor BitLocker-versleuteling is ingeschakeld. Hier de stappen voor het uitvoeren van het scenario:
Maak een vertrouwde start arc-VM waarop een ondersteund Windows 11-gastbesturingssysteem wordt uitgevoerd.
BitLocker-versleuteling inschakelen voor het besturingssysteemvolume op de Win 11-gast.
Meld u aan bij de Windows 11-gast en schakel BitLocker-versleuteling in (voor het besturingssysteemvolume): Typ BitLocker beheren in het zoekvak op de taakbalk en selecteer deze in de lijst met resultaten. Selecteer BitLocker inschakelen en volg de instructies voor het versleutelen van het besturingssysteemvolume (C:). BitLocker gebruikt vTPM als sleutelbeveiliging voor het besturingssysteemvolume.
Migreer de VIRTUELE machine naar een ander knooppunt in het cluster. Voer de volgende PowerShell-opdracht uit:
Move-ClusterVirtualMachineRole -Name $vmName -Node <destination node name> -MigrationType Shutdown
Controleer of het eigenaarknooppunt van de VIRTUELE machine het opgegeven doelknooppunt is:
Get-ClusterGroup $vmName
Nadat de VM-migratie is voltooid, controleert u of de VIRTUELE machine beschikbaar is en BitLocker is ingeschakeld.
Controleer of u zich kunt aanmelden bij de Windows 11-gast op de VM en of BitLocker-versleuteling voor het besturingssysteemvolume ingeschakeld blijft. Als u dit kunt doen, bevestigt u dat de vTPM-status is behouden tijdens de migratie van de VIRTUELE machine.
Als de vTPM-status niet behouden bleef tijdens de migratie van de VIRTUELE machine, zou het opstarten van de VM hebben geresulteerd in BitLocker-herstel tijdens het opstarten van de gast. Dat wil gezegd dat u wordt gevraagd om het BitLocker-herstelwachtwoord wanneer u zich probeerde aan te melden bij de Windows 11-gast. Dit komt doordat de opstartmetingen (opgeslagen in de vTPM) van de gemigreerde VM op het doelknooppunt afwijken van die van de oorspronkelijke VM.
Dwing de VM om een failover uit te voeren naar een ander knooppunt in het cluster.
Bevestig het eigenaarknooppunt van de VIRTUELE machine met behulp van deze opdracht:
Get-ClusterGroup $vmName
Gebruik Failoverclusterbeheer om de clusterservice op het eigenaarsknooppunt als volgt te stoppen: Selecteer het eigenaarknooppunt zoals weergegeven in Failoverclusterbeheer. Selecteer in het rechterdeelvenster Acties meer acties en selecteer vervolgens Clusterservice stoppen.
Als u de clusterservice op het eigenaarknooppunt stopt, wordt de VIRTUELE machine automatisch gemigreerd naar een ander beschikbaar knooppunt in het cluster. Start de clusterservice daarna opnieuw op.
Nadat de failover is voltooid, controleert u of de VIRTUELE machine beschikbaar is en of BitLocker is ingeschakeld na een failover.
Controleer of het eigenaarknooppunt van de VIRTUELE machine het opgegeven doelknooppunt is:
Get-ClusterGroup $vmName
Volgende stappen
- Beheer de beveiligingssleutel voor gaststatusbeveiliging van arc-VM's met vertrouwde start.