Verificação do Azure para VMs no Azure Local

Aplica-se a: Azure Local, versão 23H2

O Microsoft Azure oferece uma variedade de cargas de trabalho e recursos diferenciados projetados para serem executados somente no Azure. O Azure Local estende muitos dos mesmos benefícios que você obtém do Azure, enquanto é executado nos mesmos ambientes locais ou de borda familiares e de alto desempenho.

A verificação do Azure para VMs possibilita que cargas de trabalho exclusivas do Azure com suporte funcionem fora da nuvem. Esse recurso, modelado de acordo com o serviço de atestado IMDS no Azure, é um serviço de atestado de plataforma interno habilitado por padrão no Azure Local, versão 23H2 ou posterior. Ele ajuda a fornecer garantias para que essas VMs operem em outros ambientes do Azure.

Para obter mais informações sobre a versão anterior desse recurso no Azure Local, versão 22H2 ou anterior, consulte Benefícios do Azure no Azure Local.

Benefícios disponíveis no Azure Local

A verificação do Azure para VM permite que você use esses benefícios disponíveis somente no Azure Local:

Carga de trabalho	O que é	Como obter benefícios
Atualização de segurança estendida (ESUs)	Obtenha atualizações de segurança sem custo adicional para VMs SQL e Windows Server de fim de suporte no Azure Local. Para obter mais informações, consulte Atualizações de segurança estendidas gratuitas (ESU) no Azure Local.	Você deve habilitar o suporte ao sistema operacional herdado para VMs mais antigas que executam a versão Windows Server 2012 ou anterior com as atualizações mais recentes da pilha de manutenção.
Área de Trabalho Virtual do Azure (AVD)	Os hosts de sessão AVD podem ser executados somente na infraestrutura do Azure. Ative suas VMs de várias sessões do Windows no Azure Local usando a verificação de VM do Azure. Os requisitos de licenciamento para AVD ainda se aplicam. Consulte Preços da Área de Trabalho Virtual do Azure.	Ativado automaticamente para VMs que executam a versão multi-sessão do Windows 11 com atualização 4B lançada em 9 de abril de 2024 (22H2: KB5036893, 21H2: KB5036894) ou posterior. Você deve habilitar o suporte ao sistema operacional herdado para VMs que executam a versão multi-sessão do Windows 10 com atualização 4B lançada em 9 de abril de 2024 KB5036892 ou posterior.
Windows Server Datacenter: Edição do Azure	As VMs do Azure Edition só podem ser executadas na infraestrutura do Azure. Ative suas VMs do Windows Server Azure Edition e use as inovações mais recentes do Windows Server e outros recursos exclusivos. Os requisitos de licenciamento ainda se aplicam. Veja maneiras de licenciar VMs do Windows Server no Azure Local.	Ativado automaticamente para VMs que executam o Windows Server Azure Edition 2022 com atualização 4B lançada em 9 de abril de 2024 (KB5036909) ou posterior.
Azure Update Manager	Obtenha o Azure Update Manager gratuitamente. Este serviço fornece uma solução SaaS para gerenciar e controlar atualizações de software para VMs no Azure Local.	Disponível automaticamente para VMs Arc criadas por meio do Arc Resource Bridge no Azure Local. Com o Software Assurance, você pode atestar sua máquina usando os benefícios e licenças do Windows Server Azure da Arc e obter o AUM gratuitamente. Para obter mais informações, consulte Perguntas frequentes sobre o Azure Update Manager.
Configuração de convidados do Azure Policy	Obtenha a configuração de convidado da Política do Azure sem nenhum custo. Esta extensão Arc permite a auditoria e configuração de configurações do sistema operacional como código para máquinas e VMs.	Arc agent versão 1.39 ou posterior. Consulte a versão mais recente do agente Arc.

Nota

Para garantir a funcionalidade contínua, atualize suas VMs no Azure Local para a atualização cumulativa mais recente até 17 de junho de 2024. Essa atualização é essencial para que as VMs continuem usando os benefícios do Azure. Consulte a postagem do blog do Azure Local para obter mais informações.

Gerenciar a verificação de VM do Azure

A verificação de VM do Azure é habilitada automaticamente por padrão no Azure Local, versão 23H2 ou posterior. As instruções a seguir descrevem os pré-requisitos para usar esse recurso e as etapas para gerenciar benefícios (opcional).

Nota

Para habilitar as Atualizações de Segurança Estendidas (ESUs), você deve fazer uma configuração adicional e ativar o suporte ao sistema operacional herdado.

Pré-requisitos do host

• Certifique-se de que tem acesso ao Azure Local, versão 23H2. Todas as máquinas devem estar online, registradas e o sistema implantado. Para obter mais informações, consulte Registrar suas máquinas com o Arc e Implantar via portal do Azure.
• Instale o Hyper-V e o RSAT-Hyper-V-Tools.
• (Opcional) Se estiver a utilizar o Windows Admin Center, tem de instalar a extensão do Gestor de Cluster (versão 2.319.0) ou posterior.

Pré-requisitos de VM

• Certifique-se de atualizar suas VMs. Consulte os requisitos de versão para cargas de trabalho.

• Ative a Interface de Serviço de Convidado do Hyper-V. Consulte as instruções para o Windows Admin Center ou para o PowerShell.

Você pode gerenciar a verificação de VM do Azure usando o Windows Admin Center ou o PowerShell, ou exibir seu status usando a CLI do Azure ou o portal do Azure. As seções a seguir descrevem cada opção.

Portal do Azure

1. Na página de recursos do Azure Local, navegue até a guia Configuração .

2. No recurso Verificação do Azure para VMs, exiba o status do atestado do host.

   

CLI do Azure

A CLI do Azure está disponível para instalação em ambientes Windows, macOS e Linux. Ele também pode ser executado no Azure Cloud Shell. Esta seção descreve como usar o Bash no Azure Cloud Shell. Para obter mais informações, consulte Guia de início rápido para o Azure Cloud Shell.

Inicie o Azure Cloud Shell e use a CLI do Azure para verificar a verificação de VM do Azure seguindo estas etapas:

1. Configure parâmetros a partir da sua subscrição, grupo de recursos e nome do cluster.

   subscription="00000000-0000-0000-0000-000000000000" # Replace with your subscription ID
   resourceGroup="local-rg" # Replace with your resource group name
   clusterName="LocalCluster" # Replace with your cluster name
   
   az account set --subscription "${subscription}"
   

2. Para exibir o status de verificação da VM do Azure em um cluster, execute o seguinte comando:

   az stack-hci cluster list \
   --resource-group "${resourceGroup}" \
   --query "[?name=='${clusterName}'].{Name:name, AzureBenefitsHostAttestation:reportedProperties.imdsAttestation}" \
   -o table
   

Centro de Administração do Windows

Verificar o status da máquina da verificação da VM do Azure

1. No Windows Admin Center, selecione Gerenciador de Cluster no menu suspenso superior, navegue até o sistema que deseja ativar e, em Configurações, selecione Verificação do Azure para VMs.

2. Para verificar o status da máquina de verificação da VM do Azure:

   • Status no nível do cluster: o status do host aparece como Ativado.

   • Status no nível do servidor: na guia Servidor no painel, verifique se o status de cada máquina aparece como Ativo na tabela.

     

Solucionar problemas de máquinas

• Na guia Servidor, se uma ou mais máquinas aparecerem como Expiradas:
  • Se a máquina não tiver sincronizado com o Azure por mais de 30 dias, seu status aparecerá como Expirado ou Inativo. Selecione Sincronizar com o Azure para agendar uma sincronização manual.

Gerenciar benefícios ativados em VMs

1. Para verificar quais benefícios são ativados em VMs, navegue até a guia VMs .

2. O painel mostra o número de VMs com:

   • Benefícios ativos: essas VMs têm recursos exclusivos do Azure ativados por meio da verificação de VM do Azure.
   • Benefícios inativos: essas VMs têm recursos exclusivos do Azure que precisam de ação adicional antes da ativação.
   • Desconhecido: não podemos determinar os benefícios elegíveis para essas VMs porque a troca de dados do Hyper-V está desativada. Consulte a seção de solução de problemas a seguir.
   • Sem benefícios aplicáveis: essas VMs não têm recursos exclusivos do Azure e, portanto, não exigem verificação de VM do Azure.

3. A tabela exibe o benefício Elegível aplicável a cada VM. Consulte a lista completa de benefícios disponíveis no Azure Local.

   

Solucionar problemas de VMs

• Na guia VMs, se uma ou mais VMs aparecerem como benefícios inativos:

  • Se a ação sugerida for Instalar atualizações, talvez você não tenha a versão mínima do sistema operacional necessária para o benefício. Atualize a VM para atender aos requisitos de versão para cargas de trabalho.
  • Se a ação sugerida for Ativar Interface de Serviço de Convidado, selecione-a e abra o painel de contexto para habilitar a Interface de Serviço de Convidado do Hyper-V. Esse recurso é necessário para que as VMs se comuniquem com o host via VMbus.
  • Se a ação sugerida for em relação ao suporte ao sistema operacional herdado, consulte a solução de problemas do suporte ao sistema operacional herdado.

• Na guia VMs, se uma ou mais VMs aparecerem como Desconhecidas:

  • Se quiser determinar os benefícios disponíveis para essas VMs, você pode fazê-lo manualmente verificando a lista completa de benefícios disponíveis no Azure Local ou o Windows Admin Center pode exibir essas informações. Para acessar as informações por meio do Windows Admin Center, habilite o KVP (intercâmbio de dados do Hyper-V) para suas VMs selecionando a ação Ativar troca de dados do Hyper-V.

PowerShell

Verificar o status da máquina da verificação da VM do Azure

• Quando a configuração de verificação da VM do Azure for bem-sucedida, você poderá exibir o status do host. Verifique a propriedade do sistema IMDS Attestation executando o seguinte comando:

  Get-AzureStackHCI
  

• Ou, para exibir o status de verificação da VM do Azure para máquinas, execute o seguinte comando:

  Get-AzureStackHCIAttestation [[-ComputerName] <string>]
  

Solucionar problemas de máquinas

• Se a verificação de VM do Azure para uma ou mais máquinas ainda não estiver sincronizada e renovada com o Azure, ela poderá aparecer como Expirada ou Inativa. Agende uma sincronização manual:

  Sync-AzureStackHCI
  

Gerenciar benefícios ativados em VMs

• Para verificar o acesso à verificação de VM do Azure para VMs, execute o seguinte comando:

  Get-AzStackHCIVMAttestation
  

  Nota

  Uma VM suportada para v2 pode se comunicar com a máquina usando o VMBus. Por outro lado, uma VM com suporte para v1 é configurada com suporte ao sistema operacional herdado e pode acessar a verificação de VM do Azure via REST. Se uma VM suportar v1 e v2, o método v2 (ou seja, VMBus) é usado principalmente, mas pode voltar para v1 se v2 encontrar um problema.

Solucionar problemas de VMs

• Para configurar o acesso à verificação de VM do Azure para VMs, você pode habilitar a Interface de Serviço de Convidado do Hyper-V.

  Para verificar se a Interface de Serviço de Convidado do Hyper-V está habilitada, execute:

  Get-VMIntegrationService [[-VMName] <VMName>] -Name "Guest Service Interface"
  

• Para ativar a Interface de Serviço de Convidado do Hyper-V:

  Enable-VMIntegrationService [[-VMName] <VMName>] -Name "Guest Service Interface"
  

• Para verificar se as VMs podem acessar a verificação de VM do Azure no host, execute o seguinte comando no host:

  Invoke-RestMethod -Headers @{"Metadata"="true"} -Method GET -Uri "http://127.0.0.1:42542/metadata/attested/document?api-version=2018-10-01" –usedefaultcredentials
  

Suporte a SO legado

Para VMs mais antigas que não possuem a funcionalidade Hyper-V necessária (Interface de Serviço de Convidado) para se comunicar diretamente com o host, você deve configurar os componentes de rede tradicionais para verificação de VM do Azure. Se você tiver essas cargas de trabalho, como ESUs (Extended Security Updates), siga as instruções nesta seção para configurar o suporte a sistemas operacionais herdados.

Portal do Azure

Neste momento, não é possível ver o suporte do SO herdado a partir do portal do Azure.

CLI do Azure

A CLI do Azure está disponível para instalação em ambientes Windows, macOS e Linux. Ele também pode ser executado no Azure Cloud Shell. Esta seção descreve como usar o Bash no Azure Cloud Shell. Para obter mais informações, consulte o Guia de início rápido do Azure Cloud Shell.

Inicie o Azure Cloud Shell e use a CLI do Azure para verificar a verificação de VM do Azure seguindo estas etapas:

1. Configure parâmetros da sua assinatura, grupo de recursos e nome do cluster:

   subscription="00000000-0000-0000-0000-000000000000" # Replace with your subscription ID
   resourceGroup="local-rg" # Replace with your resource group name
   clusterName="LocalCluster" # Replace with your cluster name
   
   az account set --subscription "${subscription}"
   

2. Para exibir o status de suporte do sistema operacional herdado em um cluster, execute o seguinte comando:

   az stack-hci cluster list \
   --resource-group "${resourceGroup}" \
   --query "[?name=='${clusterName}'].{Name:name, AzureBenefitsHostAttestation:reportedProperties.supportedCapabilities}" \
   -o table
   

Centro de Administração do Windows

1. Ative o suporte ao sistema operacional herdado no host

1. No Windows Admin Center, selecione Gerenciador de Cluster no menu suspenso superior, navegue até o sistema que deseja ativar e, em Configurações, selecione Verificações do Azure para VMs.

2. Na seção Suporte a SO herdado, selecione Alterar status. Selecione Ativado no painel de contexto. Essa configuração também permite o acesso à rede para todas as VMs existentes. Você deve ativar manualmente o suporte ao sistema operacional herdado para quaisquer novas VMs criadas posteriormente.

3. Selecione Alterar status para confirmar. Pode levar alguns minutos para que as máquinas reflitam as alterações.

4. Quando o suporte ao SO herdado é ativado com êxito:

   • Verifique se o suporte ao SO herdado aparece como Ativado.

   • Na guia Servidor no painel, verifique se o suporte ao sistema operacional herdado para cada máquina aparece como Ativado na tabela.

     

2. Habilitar o acesso para novas VMs

Você deve habilitar a rede do sistema operacional herdado para todas as novas VMs criadas após a primeira configuração. Para gerenciar o acesso de VMs, navegue até a guia VMs . Qualquer VM que exija acesso de suporte ao sistema operacional herdado aparece como Inativa. Selecione a ação para Configurar a rede do sistema operacional herdado para a VM selecionada ou para todas as VMs existentes no sistema.

Nota

Para habilitar com êxito o suporte ao sistema operacional herdado em VMs de Geração 1, a VM deve primeiro ser desligada para permitir que a NIC seja adicionada.

PowerShell

1. Ative o suporte ao sistema operacional herdado no host

• Execute o seguinte comando a partir de uma janela elevada do PowerShell no seu Azure Local:

  Enable-AzStackHCIAttestation
  

• Ou, se quiser adicionar todas as VMs existentes na instalação, você pode executar o seguinte comando:

  Enable-AzStackHCIAttestation -AddVM
  

• Verifique se o suporte ao SO herdado está ativado:

  Get-AzureStackHCIAttestation [[-ComputerName] <string>]
  

Solucionar problemas de máquinas

• Para desativar e redefinir o suporte ao sistema operacional herdado em seu sistema, execute o seguinte comando:

  Disable-AzStackHCIAttestation -RemoveVM
  

2. Habilitar o acesso para VMs

• Para configurar o acesso à rede para VMs selecionadas, execute o seguinte comando no seu Azure Local:

  Add-AzStackHCIVMAttestation [-VMName]
  

• Ou, para adicionar todas as VMs existentes, execute o seguinte comando:

  Add-AzStackHCIVMAttestation -AddAll
  

• Obtenha a lista de VMs que têm acesso ao suporte ao sistema operacional herdado:

  Get-AzStackHCIVMAttestation
  

  Nota

  Para habilitar com êxito o suporte ao sistema operacional herdado em VMs de Geração 1, a VM deve primeiro ser desligada para permitir que a NIC seja adicionada.

Solucionar problemas de VMs

• Para remover o acesso ao suporte de SO herdado para VMs selecionadas:

  Remove-AzStackHCIVMAttestation -VMName <string>
  

  Ou, para remover o acesso de todas as VMs existentes:

  Remove-AzStackHCIVMAttestation -RemoveAll
  

• Para verificar se as VMs podem acessar o suporte ao sistema operacional herdado no host, execute o seguinte comando na VM:

  Invoke-RestMethod -Headers @{"Metadata"="true"} -Method GET -Uri http://169.254.169.253:80/metadata/attested/document?api-version=2018-10-01
  

FAQ

Esta seção fornece respostas para algumas perguntas frequentes sobre como usar os Benefícios do Azure.

Que cargas de trabalho exclusivas do Azure posso habilitar com a verificação de VM do Azure?

Veja a lista completa aqui.

Custa alguma coisa habilitar a verificação de VM do Azure?

N.º Ativar a verificação de VM do Azure não incorre em taxas extras.

Posso usar a verificação de VM do Azure em ambientes diferentes do Azure Local?

N.º A verificação de VM do Azure é um recurso interno ao Azure Local e só pode ser usado no Azure Local.

Se acabei de atualizar para a versão 23H2 a partir de 22H2 e ativei anteriormente o recurso Benefícios do Azure, preciso fazer algo novo?

Se você atualizou um sistema que anteriormente tinha os Benefícios do Azure no Azure Local configurados para suas cargas de trabalho, não precisará fazer nada ao atualizar para o Azure Local, versão 23H2. Quando você atualiza, o recurso permanece habilitado e o suporte ao sistema operacional herdado também é ativado. No entanto, se você quiser usar uma maneira aprimorada de fazer comunicação VM-to-host por meio do VM Bus na versão 23H2, certifique-se de ter os pré-requisitos de host necessários e os pré-requisitos de VM.

Acabei de configurar a verificação de VM do Azure no meu sistema. Como posso garantir que a verificação da VM do Azure permanece ativa?

• Na maioria dos casos, não é necessária nenhuma ação do usuário. O Azure Local renova automaticamente a verificação da VM do Azure quando sincroniza com o Azure.
• No entanto, se o sistema se desconectar por mais de 30 dias e a verificação de VM do Azure for mostrada como Expirada, você poderá sincronizar manualmente usando o PowerShell e o Windows Admin Center. Para obter mais informações, consulte Sincronizar o Azure Local.

O que acontece quando implanto novas VMs ou excluo VMs?

• Quando você implanta novas VMs que exigem verificação de VM do Azure, elas são ativadas automaticamente se tiverem os pré-requisitos de VM corretos.

• No entanto, para VMs herdadas que usam suporte a sistema operacional herdado, você pode adicionar manualmente novas VMs para acessar a verificação de VM do Azure usando o Windows Admin Center ou o PowerShell, usando as instruções anteriores.

• Você ainda pode excluir e migrar VMs como de costume. A NIC AZSHCI_GUEST-IMDS_DO_NOT_MODIFY ainda existe na VM após a migração. Para limpar a NIC antes da migração, você pode remover VMs da verificação de VM do Azure usando o Windows Admin Center ou o PowerShell usando as instruções anteriores para suporte a sistemas operacionais herdados, ou pode migrar primeiro e excluir manualmente as NICs depois.

O que acontece quando adiciono ou removo máquinas?

• Quando você adiciona uma máquina, ela é ativada automaticamente se tiver os pré-requisitos corretos do Host.
• Se você estiver usando o suporte a sistemas operacionais herdados, talvez seja necessário habilitar manualmente essas máquinas. Execute Enable-AzStackHCIAttestation [[-ComputerName] <String>] no PowerShell. Você ainda pode excluir máquinas ou removê-las do sistema, como de costume. O vSwitch AZSHCI_HOST-IMDS_DO_NOT_MODIFY ainda existe na máquina após a remoção do sistema. Você pode deixá-lo se estiver planejando adicionar a máquina de volta ao sistema mais tarde, ou você pode removê-lo manualmente.

Próximos passos

• Atualizações de segurança estendidas (ESU) no Azure Local.
• Visão geral do Azure Local.
• Perguntas frequentes sobre o Azure Local.