Introdução à inicialização confiável para VMs do Azure Arc no Azure Local, versão 23H2
Aplica-se a: Azure Local, versão 23H2
Este artigo apresenta a inicialização confiável para máquinas virtuais (VMs) do Azure Arc no Azure Local, versão 23H2. Você pode criar uma VM Arc de inicialização confiável usando o portal do Azure ou usando a CLI (Interface de Linha de Comando) do Azure.
Introdução
A inicialização confiável para VMs do Azure Arc dá suporte à inicialização segura, ao vTPM (Trusted Platform Module) virtual e à transferência de estado do vTPM quando uma VM migra ou faz failover em um cluster.
A inicialização confiável é um tipo de segurança que pode ser especificado ao criar VMs do Arc no Azure Local. Para obter mais informações, consulte Inicialização confiável para VMs do Azure Arc no Azure Local.
Capacidades e vantagens
Funcionalidade | Benefício |
---|---|
Arranque seguro | Ajuda a reduzir o risco de malware (rootkits) durante a inicialização, verificando se os componentes de inicialização são assinados por editores confiáveis. |
vTPM | Versão virtualizada de um TPM de hardware que serve como um cofre dedicado para chaves, certificados e segredos. |
Transferência de estado vTPM | Preserva o vTPM quando a VM migra ou realiza failover em um cluster. |
Segurança baseada em virtualização (VBS) | O convidado na VM pode criar regiões isoladas de memória usando o suporte a VBS. |
Nota
A verificação da integridade da inicialização do convidado da VM não está disponível.
Orientação
IgvmAgent é um componente instalado em todos os nós no sistema Local do Azure. Ele permite o suporte para VMs isoladas, como VMs Arc de inicialização confiáveis, por exemplo.
Como parte da criação de Arc VM de inicialização confiável, o Hyper-V cria arquivos de VM no disco para armazenar o estado da VM. Por padrão, o acesso a esses arquivos VM é restrito aos administradores do servidor host. Os administradores de host devem garantir que o local onde esses arquivos de VM são armazenados sempre permaneça adequadamente restrito ao acesso.
O tráfego de rede de migração ao vivo da VM não é criptografado. É altamente recomendável que você habilite uma tecnologia de criptografia de camada de rede, como IPsec, para proteger o tráfego de rede de migração ao vivo.
Imagens do sistema operacional convidado
As seguintes imagens do SO convidado VM do Azure Marketplace são suportadas. A imagem da VM pode ser criada usando o portal do Azure ou a CLI do Azure.
Para obter mais informações, consulte Criar imagem de VM local do Azure usando o Azure Marketplace.
Nome | Publisher | Oferecer | SKU | Número de versão |
---|---|---|---|---|
Windows 11 Enterprise multi-sessão, versão 22H2 - Gen2 | MicrosoftWindowsDesktop | Janelas-11 | win11-22h2-avd | 22621.2428.231001 |
Windows 11 Enterprise multi-sessão, versão 22H2 + Microsoft 365 Apps (visualização) - Gen2 | MicrosoftWindowsDesktop | Windows11Preview | win11-22h2-avd-m365 | 22621.382.220810 |
Windows 11 Enterprise multi-sessão, versão 21H2 - Gen2 | MicrosoftWindowsDesktop | Janelas-11 | win11-21h2-avd | 22000.2538.231001 |
Windows 11 Enterprise multi-sessão, versão 21H2 + Microsoft 365 Apps - Gen2 | MicrosoftWindowsDesktop | escritório-365 | win10-21h2-avd-m365-g2 | 19044.3570.231010 |
Nota
Não há suporte para imagens de convidado de VM obtidas fora do Azure Marketplace.
Próximos passos
- Implante VMs Arc de inicialização confiáveis.