Implantar inicialização confiável para VMs do Azure Arc no Azure Local, versão 23H2

Aplica-se a: Azure Local, versão 23H2

Este artigo descreve como implantar a inicialização confiável para máquinas virtuais (VMs) do Azure Arc no Azure Local, versão 23H2.

Pré-requisitos

Verifique se você tem acesso a um sistema Azure Local, versão 23H2 implantado e registrado no Azure. Para obter mais informações, consulte implantar usando o portal do Azure.

Criar uma VM Arc de inicialização confiável

Você pode criar uma VM de inicialização confiável usando o portal do Azure ou usando a CLI (Interface de Linha de Comando) do Azure. Use as guias abaixo para selecionar um método.

Portal do Azure

Para criar uma VM Arc de inicialização confiável no Azure Local, siga as etapas em Criar máquinas virtuais Arc no Azure Local usando o portal do Azure, com as seguintes alterações:

1. Ao criar a VM, selecione Máquinas virtuais de inicialização confiáveis para o tipo de segurança.

   

2. Selecione uma imagem do SO convidado da VM na lista de imagens suportadas:

   

3. Depois que uma VM for criada, vá para a página de propriedades da VM e verifique se o tipo de segurança mostrado é Inicialização confiável.

   

CLI do Azure

Para criar uma VM Arc de inicialização confiável no Azure Local, siga as etapas em Criar máquinas virtuais Arc no Azure Local usando a CLI do Azure, com as seguintes alterações:

1. Crie uma imagem de VM usando uma imagem de SO convidado de VM suportada pela inicialização confiável do Azure Marketplace. Para obter mais informações, consulte Criar imagem de VM local do Azure usando o Azure Marketplace.

2. Crie uma VM usando a CLI da seguinte maneira:

   $vmName="<Name of the VM>" 
   $subscription="<Subscription ID associated with your Azure Local system>" 
   $resourceGroup="<Resource group name for your Azure Local system>" 
   $location="<Location for your Azure Local system>" 
   $customLocationID=(az customlocation show --resource-group $resource_group --name "<custom location name for your Azure Local system>" --query id -o tsv) 
   $guestName="<Name of the guest>" 
   $userName="<Username for VM>" 
   $password="<Password for VM>" 
   $galleryImageName="<Name of VM guest image>" 
   $vNic="<Name of virtual network interface>" 
   
   az stack-hci-vm create --name $vmName --subscription $subscription --resource-group $resourceGroup --custom-location=$customLocationID --location $location --size="Default" --computer-name $guestName --admin-username $userName --admin-password $password --image $galleryImageName --nics $vNic --enable-secure-boot true --enable-vtpm true --security-type "TrustedLaunch"
   

   Saída de exemplo:

   {
     "extendedLocation": {
       "name": "/subscriptions/myhci-sub/resourceGroups/myhci-rg/Microsoft.ExtendedLocation/customLocations/myhci-cl",
       "type": "CustomLocation"
     },
     "id": "/subscriptions/myhci-sub/resourceGroups/myhci-rg/providers/Microsoft.HybridCompute/machines/tvm1/providers/Microsoft.AzureStackHCI/virtualMachineInstances/default",
     "name": "default",
     "properties": {
       "hardwareProfile": {
         "dynamicMemoryConfig": {
           "maximumMemoryMb": null,
           "minimumMemoryMb": null,
           "targetMemoryBuffer": null
         },
         "memoryMb": 4096,
         "processors": 4,
         "vmSize": "Custom"
       },
       "instanceView": {
         "vmAgent": {
           "statuses": []
         }
       },
       "networkProfile": {
         "networkInterfaces": [
           {
             "id": "ram-nic"
           }
         ]
       },
       "osProfile": {
         "adminPassword": null,
         "adminUsername": "admin",
         "computerName": "myhci-tvm",
         "linuxConfiguration": {
           "disablePasswordAuthentication": null,
           "provisionVmAgent": false,
           "provisionVmConfigAgent": false,
           "ssh": {
             "publicKeys": null
           }
         },
         "windowsConfiguration": {
           "enableAutomaticUpdates": null,
           "provisionVmAgent": false,
           "provisionVmConfigAgent": false,
           "ssh": {
             "publicKeys": null
           },
           "timeZone": null
         }
       },
       "provisioningState": "Succeeded",
       "securityProfile": {
         "enableTpm": true,
         "securityType": "TrustedLaunch",
         "uefiSettings": {
           "secureBootEnabled": true
         }
       },
       "status": {
         "powerState": "Running"
       },
       "storageProfile": {
         "dataDisks": [],
         "imageReference": {
           "id": "/subscriptions/myhci-sub/resourceGroups/myhci-rg/providers/Microsoft.AzureStackHCI/marketplacegalleryimages/Win11EntMulti21H2",
           "resourceGroup": "myhci-rg"
         },
         "osDisk": {
           "id": null,
           "osType": "Windows"
         },
         "storagepathId": null
       },
       "vmId": "myhci-tvm-1234567890"
     },
     "resourceGroup": "myhci-rg",
     "systemData": {
       "createdAt": "2023-10-24T19:15:47.152610+00:00",
       "createdBy": "registration@contoso.com",
       "createdByType": "User",
       "lastModifiedAt": "2023-10-24T19:41:05.196469+00:00",
       "lastModifiedBy": "319f651f-7ddb-4fc6-9857-7aef9250bd05",
       "lastModifiedByType": "Application"
     },
     "tags": null,
     "type": "microsoft.azurestackhci/virtualmachineinstances"
   }
   

3. Depois que a VM for criada, verifique o tipo de segurança da VM como Inicialização confiável.

4. Execute o seguinte cmdlet para localizar o nó proprietário da VM:

   Get-ClusterGroup $vmName
   

5. Execute o seguinte cmdlet no nó proprietário da VM:

   (Get-VM $vmName).GuestStateIsolationType
   

6. Certifique-se de que um valor de TrustedLaunch seja retornado.

Exemplo

Este exemplo mostra uma VM Arc de inicialização confiável executando convidado do Windows 11 com criptografia BitLocker habilitada. Aqui estão os passos para exercitar o cenário:

1. Crie uma VM Arc de inicialização confiável executando um sistema operacional convidado do Windows 11 suportado.

2. Habilite a criptografia BitLocker para o volume do sistema operacional no convidado do Win 11.

   Entre no convidado do Windows 11 e habilite a criptografia BitLocker (para o volume do sistema operacional): Na caixa de pesquisa na barra de tarefas, digite Gerenciar BitLocker e selecione-o na lista de resultados. Selecione Ativar BitLocker e siga as instruções para criptografar o volume do sistema operacional (C:). O BitLocker usará o vTPM como um protetor de chave para o volume do sistema operacional.

3. Migre a VM para outro nó no cluster. Execute o seguinte comando do PowerShell:

   Move-ClusterVirtualMachineRole -Name $vmName -Node <destination node name> -MigrationType Shutdown
   

4. Confirme se o nó proprietário da VM é o nó de destino especificado:

   Get-ClusterGroup $vmName
   

5. Após a conclusão da migração da VM, verifique se a VM está disponível e se o BitLocker está habilitado.

6. Verifique se consegue iniciar sessão no convidado do Windows 11 na VM e se a encriptação BitLocker para o volume do SO permanece ativada. Se você puder fazer isso, isso confirmará que o estado vTPM foi preservado durante a migração da VM.

   Se o estado vTPM não foi preservado durante a migração da VM, a inicialização da VM teria resultado na recuperação do BitLocker durante a inicialização do convidado. Ou seja, você teria sido solicitado a fornecer a senha de recuperação do BitLocker quando tentou fazer login no convidado do Windows 11. Isso ocorreu porque as medidas de inicialização (armazenadas no vTPM) da VM migrada no nó de destino eram diferentes das da VM original.

7. Força a VM a fazer failover para outro nó no cluster.

   1. Confirme o nó proprietário da VM usando este comando:

      Get-ClusterGroup $vmName
      

   2. Use o Gerenciador de Cluster de Failover para interromper o serviço de cluster no nó proprietário da seguinte maneira: Selecione o nó proprietário conforme exibido no Gerenciador de Cluster de Failover.  No painel direito Ações, selecione Mais Ações e, em seguida, selecione Parar Serviço de Cluster.

   3. Parar o serviço de cluster no nó proprietário fará com que a VM seja migrada automaticamente para outro nó disponível no cluster. Reinicie o serviço de cluster posteriormente.

8. Após a conclusão do failover, verifique se a VM está disponível e se o BitLocker está habilitado após o failover.

9. Confirme se o nó proprietário da VM é o nó de destino especificado:

   Get-ClusterGroup $vmName
   

Próximos passos

• Gerencie a chave de proteção de estado convidado do Arc VM de inicialização confiável.