Azure-verificatie voor VM's in Azure Local

Van toepassing op: Azure Local, versie 23H2

Microsoft Azure biedt verschillende gedifferentieerde workloads en mogelijkheden die alleen kunnen worden uitgevoerd in Azure. Azure Local breidt veel van de voordelen uit die u krijgt van Azure, terwijl u werkt in dezelfde vertrouwde en hoogwaardige on-premises of edge-omgevingen.

Met Azure-verificatie voor VM's kunnen ondersteunde, exclusieve Azure-workloads buiten de cloud werken. Deze functie, gemodelleerd na de IMDS Attestation-service in Azure, is een ingebouwde platformverklaringsservice die standaard is ingeschakeld op Azure Local, versie 23H2 of hoger. Het helpt om garanties te bieden voor deze VM's om te werken in andere Azure-omgevingen.

Zie Azure Benefits on Azure Local (Azure Benefits on Azure Local) voor meer informatie over de vorige versie van deze functie in Azure Local, versie 22H2 of eerder.

Voordelen die beschikbaar zijn op Azure Local

Met Azure-verificatie voor vm's kunt u deze voordelen alleen gebruiken op Azure Local:

Workload	Wat het is	Voordelen krijgen
Uitgebreide beveiligingsupdate (EKU's)	Ontvang zonder extra kosten beveiligingsupdates voor SQL- en Windows Server-VM's aan het einde van de ondersteuning op Azure Local. Zie Gratis uitgebreide beveiligingsupdates (ESU) op Azure Local voor meer informatie.	U moet ondersteuning voor verouderde besturingssystemen inschakelen voor oudere VM's met versie Windows Server 2012 of eerder met de nieuwste onderhoudsstackupdates.
Azure Virtual Desktop (AVD)	AVD-sessiehosts kunnen alleen worden uitgevoerd in de Azure-infrastructuur. Activeer uw Windows-VM's met meerdere sessies op Azure Local met behulp van Azure VM-verificatie. Licentievereisten voor AVD zijn nog steeds van toepassing. Zie prijzen voor Azure Virtual Desktop.	Automatisch geactiveerd voor VM's met versie Windows 11 met meerdere sessies met 4B-update die is uitgebracht op 9 april 2024 (22H2: KB5036893, 21H2: KB5036894) of hoger. U moet verouderde besturingssysteemondersteuning inschakelen voor VM's met versie Windows 10 voor meerdere sessies met 4B-update die is uitgebracht op 9 april 2024 KB5036892 of hoger.
Windows Server Datacenter: Azure Edition	Azure Edition-VM's kunnen alleen worden uitgevoerd in de Azure-infrastructuur. Activeer uw Windows Server Azure Edition-VM's en gebruik de nieuwste innovaties van Windows Server en andere exclusieve functies. Licentievereisten zijn nog steeds van toepassing. Bekijk manieren om virtuele Windows Server-machines te licentie geven op Azure Local.	Automatisch geactiveerd voor VM's met Windows Server Azure Edition 2022 met 4B-update die is uitgebracht op 9 april 2024 (KB5036909) of hoger.
Azure Update Manager	Download Azure Update Manager zonder kosten. Deze service biedt een SaaS-oplossing voor het beheren en beheren van software-updates voor VM's in Azure Local.	Automatisch beschikbaar voor Arc-VM's die zijn gemaakt via de Arc-resourcebrug in Azure Local. Met Software Assurance kunt u uw machine bevestigen met de voordelen en licenties van Azure van Arc voor Windows Server en gratis AUM krijgen. Zie veelgestelde vragen over Azure Update Manager voor meer informatie.
Azure Policy-gastconfiguratie	Azure Policy-gastconfiguratie zonder kosten ophalen. Met deze Arc-extensie kunt u de instellingen van het besturingssysteem controleren en configureren als code voor machines en VM's.	Arc-agent versie 1.39 of hoger. Zie de meest recente release van de Arc-agent.

Notitie

Werk uw VM's op Azure Local bij naar de meest recente cumulatieve update op 17 juni 2024 om de functionaliteit te waarborgen. Deze update is essentieel voor VM's om azure-voordelen te blijven gebruiken. Zie het lokale Azure-blogbericht voor meer informatie.

Azure VM-verificatie beheren

Verificatie van Azure-VM's wordt standaard standaard ingeschakeld in Azure Local, versie 23H2 of hoger. De volgende instructies geven een overzicht van de vereisten voor het gebruik van deze functie en de stappen voor het beheren van voordelen (optioneel).

Notitie

Als u uitgebreide beveiligingsupdates (ESU's) wilt inschakelen, moet u aanvullende instellingen uitvoeren en verouderde besturingssysteemondersteuning inschakelen.

Vereisten voor de host

• Zorg ervoor dat u toegang hebt tot Azure Local, versie 23H2. Alle computers moeten online, geregistreerd en het systeem zijn geïmplementeerd. Zie Uw machines registreren bij Arc en implementeren via Azure Portal voor meer informatie.
• Installeer Hyper-V en RSAT-Hyper-V-Tools.
• (Optioneel) Als u Windows Admin Center gebruikt, moet u de extensie Clusterbeheer (versie 2.319.0) of hoger installeren.

VM-vereisten

• Zorg ervoor dat u uw VM's bijwerkt. Bekijk de versievereisten voor workloads.

• Schakel hyper-V-gastserviceinterface in. Zie de instructies voor het Windows-beheercentrum of voor PowerShell.

U kunt verificatie van Azure-VM's beheren met behulp van Het Windows-beheercentrum of PowerShell, of de status ervan bekijken met behulp van Azure CLI of Azure Portal. In de volgende secties wordt elke optie beschreven.

Azure-portal

1. Navigeer op de pagina Lokale Azure-resource naar het tabblad Configuratie .

2. Bekijk onder de functie Azure-verificatie voor VM's de status van de hostattest.

   

Azure-CLI

Azure CLI is beschikbaar voor installatie in Windows-, macOS- en Linux-omgevingen. Het kan ook worden uitgevoerd in Azure Cloud Shell. In deze sectie wordt beschreven hoe u Bash gebruikt in Azure Cloud Shell. Zie Quickstart voor Azure Cloud Shell voor meer informatie.

Start Azure Cloud Shell en gebruik Azure CLI om de verificatie van Azure-VM's te controleren door de volgende stappen uit te voeren:

1. Stel parameters in vanuit uw abonnement, resourcegroep en clusternaam.

   subscription="00000000-0000-0000-0000-000000000000" # Replace with your subscription ID
   resourceGroup="local-rg" # Replace with your resource group name
   clusterName="LocalCluster" # Replace with your cluster name
   
   az account set --subscription "${subscription}"
   

2. Voer de volgende opdracht uit om de verificatiestatus van azure-VM's in een cluster weer te geven:

   az stack-hci cluster list \
   --resource-group "${resourceGroup}" \
   --query "[?name=='${clusterName}'].{Name:name, AzureBenefitsHostAttestation:reportedProperties.imdsAttestation}" \
   -o table
   

Windows-beheercentrum

Controleer de machinestatus van verificatie van Azure-VM's

1. Selecteer clusterbeheer in het bovenste vervolgkeuzemenu in het Windows-beheercentrum, navigeer naar het systeem dat u wilt activeren en selecteer vervolgens onder Instellingen Azure-verificatie voor VM's.

2. Ga als volgende te werk om de status van de azure-VM-verificatiemachine te controleren:

   • Status op clusterniveau: de hoststatus wordt weergegeven als Aan.

   • Status op serverniveau: controleer op het tabblad Server in het dashboard of de status voor elke computer wordt weergegeven als Actief in de tabel.

     

Problemen met computers oplossen

• Als op het tabblad Server een of meer computers worden weergegeven als Verlopen:
  • Als de machine meer dan 30 dagen niet is gesynchroniseerd met Azure, wordt de status weergegeven als Verlopen of Inactief. Selecteer synchroniseren met Azure om een handmatige synchronisatie te plannen.

Voordelen beheren die zijn geactiveerd op VM's

1. Als u wilt controleren welke voordelen zijn geactiveerd op VM's, gaat u naar het tabblad VM's .

2. Het dashboard toont het aantal VIRTUELE machines met:

   • Actieve voordelen: deze VM's hebben exclusieve Functies van Azure geactiveerd via azure-VM-verificatie.
   • Inactieve voordelen: deze VM's hebben exclusieve Functies van Azure die verdere actie nodig hebben voordat ze worden geactiveerd.
   • Onbekend: we kunnen de in aanmerking komende voordelen voor deze VM's niet bepalen omdat Hyper-V-gegevensuitwisseling is uitgeschakeld. Zie de volgende sectie voor probleemoplossing.
   • Geen van toepassingsvoordelen: deze VM's hebben geen exclusieve Azure-functies en vereisen daarom geen verificatie van Azure-VM's.

3. In de tabel wordt het in aanmerking komende voordeel weergegeven dat van toepassing is op elke VIRTUELE machine. Bekijk de volledige lijst met voordelen die beschikbaar zijn in Azure Local.

   

Problemen met VM's oplossen

• Als op het tabblad VM's een of meer VM's worden weergegeven als inactieve voordelen:

  • Als de voorgestelde actie is om updates te installeren, hebt u mogelijk niet de minimale versie van het besturingssysteem vereist voor het voordeel. Werk de VM bij om te voldoen aan de versievereisten voor workloads.
  • Als de voorgestelde actie is om de interface van de gastservice in te schakelen, selecteert u deze en opent u het contextvenster om de Interface van de Hyper-V-gastservice in te schakelen. Deze functie is vereist voor vm's om via VMbus met de host te communiceren.
  • Als de voorgestelde actie betrekking heeft op verouderde besturingssysteemondersteuning, raadpleegt u probleemoplossing voor verouderde besturingssysteemondersteuning.

• Als op het tabblad VM's een of meer VIRTUELE machines worden weergegeven als Onbekend:

  • Als u de voordelen wilt bepalen die beschikbaar zijn voor deze VM's, kunt u dit handmatig doen door de volledige lijst met voordelen te controleren die beschikbaar zijn in Azure Local of in het Windows-beheercentrum kunt u deze informatie weergeven. Als u toegang wilt krijgen tot de informatie via het Windows-beheercentrum, schakelt u Hyper-V-gegevensuitwisseling (KVP) in voor uw VM's door de actie te selecteren met het label Hyper-V-gegevensuitwisseling inschakelen.

Powershell

Controleer de machinestatus van verificatie van Azure-VM's

• Wanneer de installatie van de verificatie van azure-VM's is geslaagd, kunt u de hoststatus bekijken. Controleer de imds-attestation van de systeemeigenschap door de volgende opdracht uit te voeren:

  Get-AzureStackHCI
  

• Als u de verificatiestatus van azure-VM's voor machines wilt weergeven, voert u de volgende opdracht uit:

  Get-AzureStackHCIAttestation [[-ComputerName] <string>]
  

Problemen met computers oplossen

• Als azure-VM-verificatie voor een of meer machines nog niet is gesynchroniseerd en vernieuwd met Azure, kan deze worden weergegeven als Verlopen of Inactief. Een handmatige synchronisatie plannen:

  Sync-AzureStackHCI
  

Voordelen beheren die zijn geactiveerd op VM's

• Voer de volgende opdracht uit om de toegang tot azure-VM-verificatie voor VM's te controleren:

  Get-AzStackHCIVMAttestation
  

  Notitie

  Een VM die wordt ondersteund voor v2 kan communiceren met de machine met behulp van VMBus. Omgekeerd wordt een ondersteunde virtuele machine met v1 geconfigureerd met verouderde besturingssysteemondersteuning en heeft ze toegang tot verificatie van Azure-VM's via REST. Als een virtuele machine zowel v1 als v2 ondersteunt, wordt de v2-methode (dat wil bijvoorbeeld VMBus) voornamelijk gebruikt, maar kan deze terugvallen op v1 als v2 een probleem ondervindt.

Problemen met VM's oplossen

• Als u toegang tot verificatie van Virtuele Azure-machines voor VM's wilt instellen, kunt u de Interface van de Hyper-V-gastservice inschakelen.

  Voer de volgende opdracht uit om te controleren of de Interface van de Hyper-V-gastservice is ingeschakeld:

  Get-VMIntegrationService [[-VMName] <VMName>] -Name "Guest Service Interface"
  

• De Hyper-V-gastserviceinterface inschakelen:

  Enable-VMIntegrationService [[-VMName] <VMName>] -Name "Guest Service Interface"
  

• Voer de volgende opdracht uit op de host om te controleren of de VM's toegang hebben tot verificatie van Azure-VM's op de host:

  Invoke-RestMethod -Headers @{"Metadata"="true"} -Method GET -Uri "http://127.0.0.1:42542/metadata/attested/document?api-version=2018-10-01" –usedefaultcredentials
  

Ondersteuning voor verouderde besturingssystemen

Voor oudere VM's die niet beschikken over de benodigde Hyper-V-functionaliteit (Guest Service Interface) om rechtstreeks met de host te communiceren, moet u traditionele netwerkonderdelen configureren voor verificatie van Azure-VM's. Als u deze workloads hebt, zoals Uitgebreide beveiligingsupdates (EKU's), volgt u de instructies in deze sectie om verouderde besturingssysteemondersteuning in te stellen.

Azure-portal

U kunt op dit moment geen verouderde ondersteuning voor het besturingssysteem bekijken vanuit Azure Portal.

Azure-CLI

Azure CLI is beschikbaar voor installatie in Windows-, macOS- en Linux-omgevingen. Het kan ook worden uitgevoerd in Azure Cloud Shell. In deze sectie wordt beschreven hoe u Bash gebruikt in Azure Cloud Shell. Zie de quickstart voor Azure Cloud Shell voor meer informatie.

Start Azure Cloud Shell en gebruik Azure CLI om verificatie van Azure-VM's te controleren door de volgende stappen uit te voeren:

1. Stel parameters in vanuit uw abonnement, resourcegroep en clusternaam:

   subscription="00000000-0000-0000-0000-000000000000" # Replace with your subscription ID
   resourceGroup="local-rg" # Replace with your resource group name
   clusterName="LocalCluster" # Replace with your cluster name
   
   az account set --subscription "${subscription}"
   

2. Voer de volgende opdracht uit om de status van verouderde besturingssysteemondersteuning op een cluster weer te geven:

   az stack-hci cluster list \
   --resource-group "${resourceGroup}" \
   --query "[?name=='${clusterName}'].{Name:name, AzureBenefitsHostAttestation:reportedProperties.supportedCapabilities}" \
   -o table
   

Windows-beheercentrum

1. Verouderde besturingssysteemondersteuning op de host inschakelen

1. Selecteer in het Windows-beheercentrum Clusterbeheer in de bovenste vervolgkeuzelijst, ga naar het systeem dat u wilt activeren en selecteer vervolgens onder Instellingen Azure-verificaties voor VM's.

2. Selecteer De status Wijzigen in de sectie voor ondersteuning van verouderde besturingssystemen. Selecteer Aan in het contextvenster. Deze instelling maakt ook netwerktoegang mogelijk voor alle bestaande VM's. U moet verouderde besturingssysteemondersteuning handmatig inschakelen voor nieuwe VM's die u later maakt.

3. Selecteer De status Wijzigen om te bevestigen. Het kan enkele minuten duren voordat computers de wijzigingen weerspiegelen.

4. Wanneer verouderde besturingssysteemondersteuning is ingeschakeld:

   • Controleer of verouderde besturingssysteemondersteuning wordt weergegeven als Aan.

   • Controleer op het tabblad Server in het dashboard of verouderde besturingssysteemondersteuning voor elke computer wordt weergegeven als Aan in de tabel.

     

2. Toegang inschakelen voor nieuwe VM's

U moet verouderde besturingssysteemnetwerken inschakelen voor alle nieuwe VM's die u na de eerste installatie maakt. Als u de toegang voor VM's wilt beheren, gaat u naar het tabblad VM's . Alle VM's waarvoor verouderde toegang tot het besturingssysteem is vereist, worden als Inactief weergegeven. Selecteer de actie voor het instellen van verouderde besturingssysteemnetwerken voor de geselecteerde VM of voor alle bestaande VM's op het systeem.

Notitie

Als u verouderde besturingssysteemondersteuning wilt inschakelen op VM's van de eerste generatie, moet de VIRTUELE machine eerst worden uitgeschakeld om de NIC toe te voegen.

Powershell

1. Verouderde besturingssysteemondersteuning op de host inschakelen

• Voer de volgende opdracht uit vanuit een PowerShell-venster met verhoogde bevoegdheid op azure Local:

  Enable-AzStackHCIAttestation
  

• Als u alle bestaande VM's wilt toevoegen bij de installatie, kunt u ook de volgende opdracht uitvoeren:

  Enable-AzStackHCIAttestation -AddVM
  

• Controleer of verouderde besturingssysteemondersteuning is ingeschakeld:

  Get-AzureStackHCIAttestation [[-ComputerName] <string>]
  

Problemen met computers oplossen

• Voer de volgende opdracht uit om verouderde besturingssysteemondersteuning op uw systeem uit te schakelen en opnieuw in te stellen:

  Disable-AzStackHCIAttestation -RemoveVM
  

2. Toegang inschakelen voor VM's

• Als u netwerktoegang voor geselecteerde VM's wilt configureren, voert u de volgende opdracht uit op uw Lokale Azure-computer:

  Add-AzStackHCIVMAttestation [-VMName]
  

• Als u alle bestaande VM's wilt toevoegen, voert u de volgende opdracht uit:

  Add-AzStackHCIVMAttestation -AddAll
  

• Lijst ophalen met VM's die toegang hebben tot verouderde besturingssysteemondersteuning:

  Get-AzStackHCIVMAttestation
  

  Notitie

  Als u verouderde besturingssysteemondersteuning wilt inschakelen op VM's van de eerste generatie, moet de VIRTUELE machine eerst worden uitgeschakeld om de NIC toe te voegen.

Problemen met VM's oplossen

• Toegang tot verouderde besturingssysteemondersteuning voor geselecteerde VM's verwijderen:

  Remove-AzStackHCIVMAttestation -VMName <string>
  

  Of als u de toegang voor alle bestaande VM's wilt verwijderen:

  Remove-AzStackHCIVMAttestation -RemoveAll
  

• Als u wilt controleren of de VM's toegang hebben tot verouderde besturingssysteemondersteuning op de host, voert u de volgende opdracht uit op de VM:

  Invoke-RestMethod -Headers @{"Metadata"="true"} -Method GET -Uri http://169.254.169.253:80/metadata/attested/document?api-version=2018-10-01
  

Veelgestelde vragen

In deze sectie vindt u antwoorden op enkele veelgestelde vragen over het gebruik van Azure Benefits.

Welke exclusieve Workloads van Azure kan ik inschakelen met azure-VM-verificatie?

Zie hier de volledige lijst.

Kost het iets om azure-VM-verificatie in te schakelen?

Nee Voor het inschakelen van Azure VM-verificatie worden geen extra kosten in rekening gebracht.

Kan ik azure-VM-verificatie gebruiken in andere omgevingen dan Azure Local?

Nee Azure VM-verificatie is een functie die is ingebouwd in Azure Local en kan alleen worden gebruikt in Azure Local.

Als ik net een upgrade heb uitgevoerd naar versie 23H2 vanaf 22H2 en ik eerder de Azure Benefits-functie heb ingeschakeld, moet ik iets nieuws doen?

Als u een upgrade hebt uitgevoerd van een systeem met Azure Benefits in Azure Local voor uw workloads, hoeft u niets te doen wanneer u een upgrade uitvoert naar Azure Local, versie 23H2. Wanneer u een upgrade uitvoert, blijft de functie ingeschakeld en wordt ook verouderde besturingssysteemondersteuning ingeschakeld. Als u echter een verbeterde manier wilt gebruiken om communicatie tussen vm's en hosts uit te voeren via VM Bus in versie 23H2, moet u ervoor zorgen dat u beschikt over de vereiste hostvereisten en de VM-vereisten.

Ik heb net verificatie van Azure-VM's ingesteld op mijn systeem. Hoe kan ik ervoor zorgen dat verificatie van Virtuele Azure-machines actief blijft?

• In de meeste gevallen is er geen gebruikersactie vereist. Azure Local vernieuwt automatisch azure-VM-verificatie wanneer deze wordt gesynchroniseerd met Azure.
• Als het systeem echter langer dan 30 dagen wordt verbroken en azure-VM-verificatie wordt weergegeven als Verlopen, kunt u handmatig synchroniseren met behulp van PowerShell en Het Windows-beheercentrum. Zie Azure Local synchroniseren voor meer informatie.

Wat gebeurt er wanneer ik nieuwe VM's implementeer of VM's verwijder?

• Wanneer u nieuwe VM's implementeert waarvoor verificatie van Azure-VM's is vereist, worden ze automatisch geactiveerd als ze over de juiste VM-vereisten beschikken.

• Voor verouderde VM's met ondersteuning voor verouderde besturingssystemen kunt u echter handmatig nieuwe VM's toevoegen om toegang te krijgen tot verificatie van Azure-VM's met behulp van het Windows-beheercentrum of PowerShell met behulp van de voorgaande instructies.

• U kunt vm's nog steeds zoals gebruikelijk verwijderen en migreren. De NIC AZSHCI_GUEST-IMDS_DO_NOT_MODIFY bestaat nog steeds op de VIRTUELE machine na de migratie. Als u de NIC vóór de migratie wilt opschonen, kunt u VM's verwijderen uit azure-VM-verificatie met behulp van het Windows-beheercentrum of PowerShell met behulp van de voorgaande instructies voor verouderde besturingssysteemondersteuning, of u kunt NIC's daarna eerst migreren en handmatig verwijderen.

Wat gebeurt er wanneer ik machines toevoeg of verwijder?

• Wanneer u een machine toevoegt, wordt deze automatisch geactiveerd als deze over de juiste hostvereisten beschikt.
• Als u verouderde besturingssysteemondersteuning gebruikt, moet u deze computers mogelijk handmatig inschakelen. Uitvoeren Enable-AzStackHCIAttestation [[-ComputerName] <String>] in PowerShell. U kunt machines nog steeds verwijderen of verwijderen uit het systeem zoals gebruikelijk. De vSwitch AZSHCI_HOST-IMDS_DO_NOT_MODIFY bestaat nog steeds op de computer na verwijdering uit het systeem. U kunt het laten als u van plan bent om de machine later weer aan het systeem toe te voegen, of u kunt deze handmatig verwijderen.

Volgende stappen

• Uitgebreide beveiligingsupdates (ESU) op Azure Local.
• Overzicht van Azure Local.
• Veelgestelde vragen over Azure Local.