Udostępnij za pośrednictwem


Wprowadzenie do zaufanego uruchamiania maszyn wirtualnych usługi Azure Arc w środowisku lokalnym platformy Azure w wersji 23H2

Dotyczy: Azure Local, wersja 23H2

W tym artykule przedstawiono wprowadzenie zaufanego uruchamiania maszyn wirtualnych usługi Azure Arc w usłudze Azure Local w wersji 23H2. Możesz utworzyć zaufaną maszynę wirtualną z usługą Arc do uruchamiania przy użyciu witryny Azure Portal lub interfejsu wiersza polecenia platformy Azure.

Wprowadzenie

Zaufane uruchamianie maszyn wirtualnych usługi Azure Arc obsługuje bezpieczny rozruch, wirtualny moduł zaufanej platformy (vTPM) i transfer stanu vTPM, gdy maszyna wirtualna migruje lub przełączy się w tryb failover w klastrze.

Zaufane uruchamianie to typ zabezpieczeń, który można określić podczas tworzenia maszyn wirtualnych usługi Arc w środowisku lokalnym platformy Azure. Aby uzyskać więcej informacji, zobacz Zaufane uruchamianie maszyn wirtualnych usługi Azure Arc w środowisku lokalnym platformy Azure.

Funkcje i korzyści

Możliwość Korzyści
Bezpieczny rozruch Pomaga zmniejszyć ryzyko złośliwego oprogramowania (rootkits) podczas rozruchu, sprawdzając, czy składniki rozruchowe są podpisane przez zaufanych wydawców.
VTPM Zwirtualizowana wersja sprzętowego modułu TPM, który służy jako dedykowany magazyn kluczy, certyfikatów i wpisów tajnych.
Transfer stanu vTPM Zachowuje maszynę wirtualną vTPM w przypadku migrowania maszyny wirtualnej lub przechodzenia w tryb failover w klastrze.
Zabezpieczenia oparte na wirtualizacji (VBS) Gość na maszynie wirtualnej może tworzyć izolowane regiony pamięci przy użyciu obsługi języka VBS.

Uwaga

Weryfikacja integralności rozruchu gościa maszyny wirtualnej jest niedostępna.

Wskazówki

  • IgvmAgent to składnik zainstalowany we wszystkich węzłach w systemie lokalnym platformy Azure. Umożliwia ona obsługę izolowanych maszyn wirtualnych, takich jak na przykład zaufane maszyny wirtualne usługi Arc.

  • W ramach tworzenia zaufanej maszyny wirtualnej usługi Arc funkcja Hyper-V tworzy pliki maszyn wirtualnych na dysku w celu przechowywania stanu maszyny wirtualnej. Domyślnie dostęp do tych plików maszyn wirtualnych jest ograniczony do administratorów serwera hosta. Administratorzy hostów muszą upewnić się, że lokalizacja, w której przechowywane są te pliki maszyn wirtualnych, zawsze pozostaje odpowiednio ograniczona dostęp.

  • Ruch sieciowy migracji na żywo maszyny wirtualnej nie jest szyfrowany. Zdecydowanie zalecamy włączenie technologii szyfrowania warstwy sieciowej, takiej jak IPsec w celu ochrony ruchu sieciowego migracji na żywo.

Obrazy systemu operacyjnego gościa

Obsługiwane są następujące obrazy systemu operacyjnego gościa maszyny wirtualnej z witryny Azure Marketplace. Obraz maszyny wirtualnej można utworzyć przy użyciu witryny Azure Portal lub interfejsu wiersza polecenia platformy Azure.

Aby uzyskać więcej informacji, zobacz Tworzenie lokalnego obrazu maszyny wirtualnej platformy Azure przy użyciu witryny Azure Marketplace.

Nazwisko Publisher Oferta SKU Numer wersji
Wiele sesji systemu Windows 11 Enterprise w wersji 22H2 — Gen2 microsoftwindowsdesktop windows-11 win11-22h2-avd 22621.2428.231001
Wiele sesji systemu Windows 11 Enterprise w wersji 22H2 i Aplikacje Microsoft 365 (wersja zapoznawcza) — Gen2 microsoftwindowsdesktop windows11preview win11-22h2-avd-m365 22621.382.220810
Wiele sesji systemu Windows 11 Enterprise w wersji 21H2 — Gen2 microsoftwindowsdesktop windows-11 win11-21h2-avd 22000.2538.231001
Wiele sesji systemu Windows 11 Enterprise w wersji 21H2 i Aplikacje Microsoft 365 — Gen2 microsoftwindowsdesktop office-365 win10-21h2-avd-m365-g2 19044.3570.231010

Uwaga

Obrazy gości maszyn wirtualnych uzyskane poza witryną Azure Marketplace nie są obsługiwane.

Następne kroki