Verificação do Azure para VMs no Azure Local

Aplica-se a: Azure Local 2311.2 e posterior

O Microsoft Azure oferece uma variedade de cargas de trabalho e recursos diferenciados projetados para serem executados somente no Azure. O Azure Local estende muitos dos mesmos benefícios que você obtém do Azure, enquanto é executado nos mesmos ambientes locais ou de borda familiares e de alto desempenho.

A verificação do Azure para VMs possibilita que cargas de trabalho exclusivas do Azure com suporte funcionem fora da nuvem. Esse recurso, modelado após o serviço de atestado do IMDS no Azure, é um serviço de atestado de plataforma interno habilitado por padrão no Azure Local. Isso ajuda a fornecer garantias para que essas VMs operem em outros ambientes do Azure.

Para obter mais informações sobre a versão anterior desse recurso, versão 22H2 ou anterior, consulte Benefícios do Azure no Azure Local.

Benefícios disponíveis no Azure Local

A verificação do Azure para VM permite que você use esses benefícios disponíveis apenas no Azure Local:

Carga de trabalho	O que é	Como obter benefícios
Atualização de Segurança Estendida (ESUs)	Obtenha atualizações de segurança sem custo adicional para VMs SQL e Windows Server de fim de suporte no Azure Local. Para obter mais informações, consulte ESU (Atualizações de Segurança Estendidas) gratuitas no Azure Local.	Você deve habilitar o suporte ao sistema operacional herdado para VMs mais antigas que executam a versão Windows Server 2012 ou anterior com as atualizações mais recentes da pilha de manutenção.
Área de Trabalho Virtual do Azure (AVD)	Os hosts de sessão do AVD só podem ser executados na infraestrutura do Azure. Ative suas VMs de várias sessões do Windows no Azure Local usando a verificação de VM do Azure. Os requisitos de licenciamento para o AVD ainda se aplicam. Confira os preços da Área de Trabalho Virtual do Azure.	Ativado automaticamente para VMs que executam a versão Windows 11 multissessão com atualização 4B lançada em 9 de abril de 2024 (22H2: KB5036893, 21H2: KB5036894) ou posterior. Você deve habilitar o suporte ao sistema operacional herdado para VMs que executam a versão Windows 10 multissessão com atualização 4B lançada em 9 de abril de 2024 KB5036892 ou posterior.
Windows Server Datacenter: Azure Edition	As VMs do Azure Edition podem ser executadas somente na infraestrutura do Azure. Ative suas VMs do Windows Server Azure Edition e use as inovações mais recentes do Windows Server e outros recursos exclusivos. Os requisitos de licenciamento ainda se aplicam. Veja maneiras de licenciar VMs do Windows Server no Azure Local.	Ativado automaticamente para VMs que executam o Windows Server Azure Edition 2022 com atualização 4B lançada em 9 de abril de 2024 (KB5036909) ou posterior.
Gerenciador de Atualizações do Azure	Obtenha o Azure Update Manager sem custo. Esse serviço fornece uma solução SaaS para gerenciar e controlar atualizações de software para VMs no Azure Local.	Disponível automaticamente para VMs do Arc criadas por meio da ponte de recursos do Arc no Azure Local. Com o Software Assurance, você pode atestar seu computador usando os benefícios e licenças do Azure do Windows Server do Arc e obter o AUM gratuitamente. Para obter mais informações, consulte Perguntas frequentes sobre o Azure Update Manager.
Configuração de convidado do Azure Policy	Obtenha a configuração de convidado do Azure Policy sem nenhum custo. Essa extensão do Arc permite a auditoria e a configuração das configurações do sistema operacional como código para computadores e VMs.	Agente do Arc versão 1.39 ou posterior. Consulte Versão mais recente do agente do Arc.

Observação

Para garantir a funcionalidade contínua, atualize suas VMs no Azure Local para a atualização cumulativa mais recente até 17 de junho de 2024. Esta atualização é essencial para que as VMs continuem usando os benefícios do Azure. Consulte a postagem no blog do Azure Local para obter mais informações.

Gerenciar a verificação de VM do Azure

A verificação de VM do Azure é habilitada automaticamente por padrão no Azure Local. As instruções a seguir descrevem os pré-requisitos para usar esse recurso e as etapas para gerenciar benefícios (opcional).

Observação

Para habilitar as ESUs (Atualizações de Segurança Estendidas), você deve fazer uma configuração adicional e ativar o suporte ao sistema operacional herdado.

Pré-requisitos do host

• Verifique se você tem acesso ao Azure Local. Todas as máquinas devem estar online, registradas e o sistema implantado. Para obter mais informações, consulte Registrar seus computadores com o Arc e Implantar por meio do portal do Azure.
• Instale o Hyper-V e o RSAT-Hyper-V-Tools.
• (Opcional) Se você estiver usando Windows Admin Center, deverá instalar a extensão do Gerenciador de Cluster (versão 2.319.0) ou posterior.

Pré-requisitos da VM

• Certifique-se de atualizar suas VMs. Consulte os requisitos de versão para cargas de trabalho.

• Ative a Interface de Serviço de Convidado do Hyper-V. Consulte as instruções para Windows Admin Center ou para PowerShell.

Você pode gerenciar a verificação de VM do Azure usando Windows Admin Center ou PowerShell ou exibir seu status usando a CLI do Azure ou o portal do Azure. As seções a seguir descrevem cada opção.

Portal do Azure

1. Na página de recursos locais do Azure, navegue até a guia Configuração .

2. No recurso Verificação do Azure para VMs, exiba o status do atestado do host.

   

CLI do Azure

A CLI do Azure está disponível para instalação em ambientes Windows, macOS e Linux. Ele também pode ser executado no Azure Cloud Shell. Esta seção descreve como usar o Bash no Azure Cloud Shell. Para obter mais informações, confira Início Rápido para Azure Cloud Shell.

Inicie o Azure Cloud Shell e use a CLI do Azure para verificar a verificação da VM do Azure seguindo estas etapas:

1. Configure os parâmetros da assinatura, do grupo de recursos e do nome do cluster.

   subscription="00000000-0000-0000-0000-000000000000" # Replace with your subscription ID
   resourceGroup="local-rg" # Replace with your resource group name
   clusterName="LocalCluster" # Replace with your cluster name
   
   az account set --subscription "${subscription}"
   

2. Para exibir o status de verificação da VM do Azure em um cluster, execute o seguinte comando:

   az stack-hci cluster list \
   --resource-group "${resourceGroup}" \
   --query "[?name=='${clusterName}'].{Name:name, AzureBenefitsHostAttestation:reportedProperties.imdsAttestation}" \
   -o table
   

Windows Admin Center

Verificar o status do computador da verificação da VM do Azure

1. No Windows Admin Center, selecione Gerenciador de Cluster no menu suspenso superior, navegue até o sistema que você deseja ativar e, em Configurações, selecione Verificação do Azure para VMs.

2. Para verificar o status do computador de verificação de VM do Azure:

   • Status no nível do cluster: o status do host aparece como Ativado.

   • Status no nível do servidor: na guia Servidor no painel, verifique se o status de cada máquina é exibido como Ativo na tabela.

     

Solucionar problemas de computadores

• Na guia Servidor, se uma ou mais máquinas aparecerem como Expirado:
  • Se o computador não tiver sido sincronizado com o Azure por mais de 30 dias, seu status aparecerá como Expirado ou Inativo. Selecione Sincronizar com o Azure para agendar uma sincronização manual.

Gerenciar benefícios ativados em VMs

1. Para verificar quais benefícios são ativados em VMs, navegue até a guia VMs .

2. O painel mostra o número de VMs com:

   • Benefícios ativos: essas VMs têm recursos exclusivos do Azure ativados por meio da verificação de VM do Azure.
   • Benefícios inativos: essas VMs têm recursos exclusivos do Azure que precisam de ação adicional antes da ativação.
   • Desconhecido: não podemos determinar os benefícios qualificados para essas VMs porque a troca de dados do Hyper-V está desativada. Consulte a seção de solução de problemas a seguir.
   • Nenhum benefício aplicável: essas VMs não têm recursos exclusivos do Azure e, portanto, não exigem verificação de VM do Azure.

3. A tabela exibe o benefício qualificado aplicável a cada VM. Confira a lista completa de benefícios disponíveis no Azure Local.

   

Solucionar problemas de VMs

• Na guia VMs, se uma ou mais VMs aparecerem como Inativas benefícios:

  • Se a ação sugerida for Instalar atualizações, talvez você não tenha a versão mínima do sistema operacional necessária para o benefício. Atualize a VM para atender aos requisitos de versão para cargas de trabalho.
  • Se a ação sugerida for Ativar a Interface de Serviço de Convidado, selecione-a e abra o painel de contexto para habilitar a Interface de Serviço de Convidado do Hyper-V. Esse recurso é necessário para que as VMs se comuniquem com o host via VMbus.
  • Se a ação sugerida for relacionada ao suporte ao sistema operacional herdado, consulte solução de problemas para suporte ao sistema operacional herdado.

• Na guia VMs, se uma ou mais VMs aparecerem como Desconhecidas:

  • Se você quiser determinar os benefícios disponíveis para essas VMs, poderá fazê-lo manualmente verificando a lista completa de benefícios disponíveis no Azure Local ou Windows Admin Center poderá exibir essas informações. Para acessar as informações por meio do Windows Admin Center, habilite a troca de dados do Hyper-V (KVP) para suas VMs selecionando a ação rotulada Ativar troca de dados do Hyper-V.

PowerShell

Verificar o status do computador da verificação da VM do Azure

• Quando a configuração da verificação de VM do Azure for bem-sucedida, você poderá exibir o status do host. Verifique a propriedade do sistema Atestado IMDS executando o seguinte comando:

  Get-AzureStackHCI
  

• Ou, para exibir o status de verificação da VM do Azure para computadores, execute o seguinte comando:

  Get-AzureStackHCIAttestation [[-ComputerName] <string>]
  

Solucionar problemas de computadores

• Se a verificação de VM do Azure para um ou mais computadores ainda não estiver sincronizada e renovada com o Azure, ela poderá aparecer como Expirada ou Inativa. Agende uma sincronização manual:

  Sync-AzureStackHCI
  

Gerenciar benefícios ativados em VMs

• Para verificar o acesso à verificação de VM do Azure para VMs, execute o seguinte comando:

  Get-AzStackHCIVMAttestation
  

  Observação

  Uma VM com suporte para v2 pode se comunicar com o computador usando o VMBus. Por outro lado, uma VM com suporte para v1 é configurada com suporte a sistema operacional herdado e pode acessar a verificação de VM do Azure por meio de REST. Se uma VM der suporte a v1 e v2, o método v2 (ou seja, VMBus) será usado principalmente, mas poderá voltar para v1 se a v2 encontrar um problema.

Solucionar problemas de VMs

• Para configurar o acesso à verificação de VM do Azure para VMs, você pode habilitar a Interface de Serviço de Convidado do Hyper-V.

  Para verificar se a Interface de Serviço de Convidado do Hyper-V está habilitada, execute:

  Get-VMIntegrationService [[-VMName] <VMName>] -Name "Guest Service Interface"
  

• Para ativar a Interface de Serviço de Convidado do Hyper-V:

  Enable-VMIntegrationService [[-VMName] <VMName>] -Name "Guest Service Interface"
  

• Para verificar se as VMs podem acessar a verificação de VM do Azure no host, execute o seguinte comando no host:

  Invoke-RestMethod -Headers @{"Metadata"="true"} -Method GET -Uri "http://127.0.0.1:42542/metadata/attested/document?api-version=2018-10-01" –usedefaultcredentials
  

Suporte ao sistema operacional legado

Para VMs mais antigas que não têm a funcionalidade necessária do Hyper-V (Interface de Serviço de Convidado) para se comunicar diretamente com o host, você deve configurar componentes de rede tradicionais para verificação de VM do Azure. Se você tiver essas cargas de trabalho, como ESUs (Atualizações de Segurança Estendidas), siga as instruções nesta seção para configurar o suporte ao sistema operacional herdado.

Portal do Azure

No momento, você não pode exibir o suporte ao sistema operacional herdado no portal do Azure.

CLI do Azure

A CLI do Azure está disponível para instalação em ambientes Windows, macOS e Linux. Ele também pode ser executado no Azure Cloud Shell. Esta seção descreve como usar o Bash no Azure Cloud Shell. Para obter mais informações, consulte o Início Rápido do Azure Cloud Shell.

Inicie o Azure Cloud Shell e use a CLI do Azure para verificar a verificação de VM do Azure seguindo estas etapas:

1. Configure os parâmetros da assinatura, do grupo de recursos e do nome do cluster:

   subscription="00000000-0000-0000-0000-000000000000" # Replace with your subscription ID
   resourceGroup="local-rg" # Replace with your resource group name
   clusterName="LocalCluster" # Replace with your cluster name
   
   az account set --subscription "${subscription}"
   

2. Para exibir o status de suporte do sistema operacional herdado em um cluster, execute o seguinte comando:

   az stack-hci cluster list \
   --resource-group "${resourceGroup}" \
   --query "[?name=='${clusterName}'].{Name:name, AzureBenefitsHostAttestation:reportedProperties.supportedCapabilities}" \
   -o table
   

Windows Admin Center

1. Ative o suporte ao sistema operacional herdado no host

1. No Windows Admin Center, selecione Gerenciador de Cluster no menu suspenso superior, navegue até o sistema que você deseja ativar e, em Configurações, selecione Verificações do Azure para VMs.

2. Na seção de suporte ao sistema operacional legado, selecione Alterar status. Selecione Ativado no painel de contexto. Essa configuração também permite o acesso à rede para todas as VMs existentes. Você deve ativar manualmente o suporte ao sistema operacional herdado para todas as novas VMs criadas posteriormente.

3. Selecione Alterar status para confirmar. Pode levar alguns minutos para que as máquinas reflitam as alterações.

4. Quando o suporte ao sistema operacional legado é ativado com êxito:

   • Verifique se o suporte ao sistema operacional legado aparece como Ativado.

   • Na guia Servidor no painel, verifique se o suporte do sistema operacional herdado para cada máquina é exibido como Ativado na tabela.

     

2. Habilitar o acesso para novas VMs

Você deve habilitar a rede do sistema operacional herdado para todas as novas VMs criadas após a primeira configuração. Para gerenciar o acesso de VMs, navegue até a guia VMs . Qualquer VM que exija acesso de suporte ao sistema operacional herdado aparece como Inativa. Selecione a ação para Configurar a rede do sistema operacional herdado para a VM selecionada ou para todas as VMs existentes no sistema.

Observação

Para habilitar com êxito o suporte ao sistema operacional herdado em VMs de Geração 1, a VM deve primeiro ser desligada para permitir que a NIC seja adicionada.

PowerShell

1. Ative o suporte ao sistema operacional herdado no host

• Execute o seguinte comando em uma janela do PowerShell com privilégios elevados no Azure Local:

  Enable-AzStackHCIAttestation
  

• Ou, se você quiser adicionar todas as VMs existentes na instalação, poderá executar o seguinte comando:

  Enable-AzStackHCIAttestation -AddVM
  

• Verifique se o suporte ao sistema operacional herdado está ativado:

  Get-AzureStackHCIAttestation [[-ComputerName] <string>]
  

Solucionar problemas de computadores

• Para desativar e redefinir o suporte ao sistema operacional herdado em seu sistema, execute o seguinte comando:

  Disable-AzStackHCIAttestation -RemoveVM
  

2. Habilitar o acesso para VMs

• Para configurar o acesso de rede para VMs selecionadas, execute o seguinte comando no Azure Local:

  Add-AzStackHCIVMAttestation [-VMName]
  

• Ou, para adicionar todas as VMs existentes, execute o seguinte comando:

  Add-AzStackHCIVMAttestation -AddAll
  

• Obtenha a lista de VMs que têm acesso ao suporte ao sistema operacional herdado:

  Get-AzStackHCIVMAttestation
  

  Observação

  Para habilitar com êxito o suporte ao sistema operacional herdado em VMs de Geração 1, a VM deve primeiro ser desligada para permitir que a NIC seja adicionada.

Solucionar problemas de VMs

• Para remover o acesso ao suporte do sistema operacional herdado para VMs selecionadas:

  Remove-AzStackHCIVMAttestation -VMName <string>
  

  Ou, para remover o acesso de todas as VMs existentes:

  Remove-AzStackHCIVMAttestation -RemoveAll
  

• Para verificar se as VMs podem acessar o suporte ao sistema operacional herdado no host, execute o seguinte comando na VM:

  Invoke-RestMethod -Headers @{"Metadata"="true"} -Method GET -Uri http://169.254.169.253:80/metadata/attested/document?api-version=2018-10-01
  

Perguntas frequentes

Esta seção fornece respostas para algumas perguntas frequentes sobre como usar os Benefícios do Azure.

Quais cargas de trabalho exclusivas do Azure posso habilitar com a verificação de VM do Azure?

Consulte a lista completa aqui.

Custa alguma coisa habilitar a verificação de VM do Azure?

Não. Ativar a verificação de VM do Azure não incorre em taxas extras.

Posso usar a verificação de VM do Azure em ambientes diferentes do Azure Local?

Não. A verificação de VM do Azure é um recurso integrado ao Azure Local e só pode ser usado no Azure Local.

Se acabei de atualizar do 22H2 e ative anteriormente o recurso benefícios do Azure, preciso fazer algo novo?

Se você atualizou um sistema que anteriormente tinha os benefícios do Azure no Azure Local configurados para suas cargas de trabalho, não será necessário fazer nada ao atualizar para o Azure Local. Quando você atualiza, o recurso permanece habilitado e o suporte ao sistema operacional herdado também é ativado. No entanto, se você quiser usar uma maneira aprimorada de fazer a comunicação VM para host por meio do Barramento de VM, verifique se você tem os pré-requisitos de host necessários e os pré-requisitos de VM .

Acabei de configurar a verificação de VM do Azure no meu sistema. Como garantir que a verificação de VM do Azure permaneça ativa?

• Na maioria dos casos, não há nenhuma ação do usuário necessária. O Azure Local renova automaticamente a verificação de VM do Azure quando ele é sincronizado com o Azure.
• No entanto, se o sistema se desconectar por mais de 30 dias e a verificação da VM do Azure for exibida como Expirada, você poderá sincronizar manualmente usando o PowerShell e o Windows Admin Center. Para obter mais informações, consulte sincronizando o Azure Local.

O que acontece quando implanto novas VMs ou excluo VMs?

• Quando você implanta novas VMs que exigem a verificação de VM do Azure, elas são ativadas automaticamente se tiverem os pré-requisitos de VM corretos.

• No entanto, para VMs herdadas que usam suporte a sistema operacional herdado, você pode adicionar manualmente novas VMs para acessar a verificação de VM do Azure usando Windows Admin Center ou PowerShell, usando as instruções anteriores.

• Você ainda pode excluir e migrar VMs como de costume. A IMDS_DO_NOT_MODIFY AZSHCI_GUEST da NIC ainda existe na VM após a migração. Para limpar a NIC antes da migração, você pode remover VMs da verificação de VM do Azure usando Windows Admin Center ou PowerShell usando as instruções anteriores para suporte ao sistema operacional herdado ou pode migrar primeiro e excluir manualmente as NICs depois.

O que acontece quando adiciono ou removo máquinas?

• Quando você adiciona uma máquina, ela é ativada automaticamente se tiver os pré-requisitos corretos do Host.
• Se você estiver usando o suporte ao sistema operacional herdado, talvez seja necessário habilitar manualmente essas máquinas. Execute Enable-AzStackHCIAttestation [[-ComputerName] <String>] no PowerShell. Você ainda pode excluir máquinas ou removê-las do sistema como de costume. O vSwitch AZSHCI_HOST-IMDS_DO_NOT_MODIFY ainda existe na máquina após a remoção do sistema. Você pode deixá-lo se estiver planejando adicionar a máquina de volta ao sistema mais tarde ou pode removê-lo manualmente.

Próximas etapas

• ESU (atualizações de segurança estendidas) no Azure Local.
• Visão geral do Azure Local.
• Perguntas frequentes sobre o Azure Local.