Inleiding tot vertrouwd starten voor Azure Arc-VM's in Azure Local, versie 23H2
Van toepassing op: Azure Local, versie 23H2
In dit artikel maakt u kennis met vertrouwde lancering voor virtuele Azure Arc-machines (VM's) in Azure Local, versie 23H2. U kunt een vertrouwde start-ARC-VM maken met behulp van Azure Portal of met behulp van De Opdrachtregelinterface (CLI) van Azure.
Inleiding
Vertrouwde start voor Azure Arc-VM's ondersteunt beveiligd opstarten, virtuele Trusted Platform Module (vTPM) en vTPM-statusoverdracht wanneer een virtuele machine wordt gemigreerd of een failover in een cluster uitvoert.
Vertrouwd starten is een beveiligingstype dat kan worden opgegeven bij het maken van Arc-VM's in Azure Local. Zie Vertrouwde lancering voor Azure Arc-VM's in Azure Local voor meer informatie.
Mogelijkheden en voordelen
| Mogelijkheid | Voordeel |
|---|---|
| Beveiligd opstarten | Helpt het risico op malware (rootkits) tijdens het opstarten te verminderen door te controleren of opstartonderdelen zijn ondertekend door vertrouwde uitgevers. |
| vTPM | Gevirtualiseerde versie van een hardware-TPM die fungeert als een toegewezen kluis voor sleutels, certificaten en geheimen. |
| Statusoverdracht van vTPM | Behoudt vTPM wanneer de VM wordt gemigreerd of een failover in een cluster uitvoert. |
| Beveiliging op basis van virtualisatie (VBS) | Gast in de VIRTUELE machine kan geïsoleerde regio's met geheugen maken met behulp van VBS-ondersteuning. |
Notitie
Verificatie van vm-gastintegriteit is niet beschikbaar.
Richtlijn
IgvmAgent is een onderdeel dat is geïnstalleerd op alle knooppunten in het lokale Azure-systeem. Het maakt ondersteuning mogelijk voor geïsoleerde VM's, zoals vertrouwde start arc-VM's, bijvoorbeeld.
Als onderdeel van het maken van een vertrouwde start van arc-VM's, maakt Hyper-V VM-bestanden op schijf om de VM-status op te slaan. Standaard is toegang tot deze VM-bestanden beperkt tot hostserverbeheerders. Hostbeheerders moeten ervoor zorgen dat de locatie waar die VM-bestanden worden opgeslagen, altijd op de juiste wijze toegangsbeperking blijft.
Livemigratienetwerkverkeer van vm's wordt niet versleuteld. We raden u ten zeerste aan een netwerklaagversleutelingstechnologie in te schakelen, zoals IPsec om livemigratienetwerkverkeer te beveiligen.
Installatiekopieën van gastbesturingssystemen
De volgende vm-installatiekopieën van gastbesturingssystemen van Azure Marketplace worden ondersteund. De VM-installatiekopieën kunnen worden gemaakt met behulp van Azure Portal of Azure CLI.
Zie Azure Local VM-installatiekopieën maken met behulp van Azure Marketplace voor meer informatie.
| Naam | Publisher | Aanbieden | SKU | Versienummer |
|---|---|---|---|---|
| Windows 11 Enterprise-multisessie, versie 22H2 - Gen2 | microsoftwindowsdesktop | windows-11 | win11-22h2-avd | 22621.2428.231001 |
| Windows 11 Enterprise-multisessie, versie 22H2 + Microsoft 365-apps (preview) - Gen2 | microsoftwindowsdesktop | windows11preview | win11-22h2-avd-m365 | 22621.382.220810 |
| Windows 11 Enterprise-multisessie, versie 21H2 - Gen2 | microsoftwindowsdesktop | windows-11 | win11-21h2-avd | 22000.2538.231001 |
| Windows 11 Enterprise voor meerdere sessies, versie 21H2 + Microsoft 365-apps - Gen2 | microsoftwindowsdesktop | office-365 | win10-21h2-avd-m365-g2 | 19044.3570.231010 |
Notitie
VM-gastinstallatiekopieën die buiten Azure Marketplace zijn verkregen, worden niet ondersteund.