Проверка Azure для виртуальных машин в локальной среде Azure

Область применения: Azure Local 2311.2 и более поздних версий

Microsoft Azure предлагает ряд разных рабочих нагрузок и возможностей, предназначенных для запуска только в Azure. Локальная служба Azure расширяет множество преимуществ, которые вы получаете от Azure, при этом работает в одних и том же знакомых и высокопроизводительных локальных или пограничных средах.

Проверка Azure для виртуальных машин позволяет использовать поддерживаемые рабочие нагрузки, исключающие Azure, для работы за пределами облака. Эта функция, моделируемая после службы аттестации IMDS в Azure, — это встроенная служба аттестации платформы, которая включена по умолчанию в локальной версии Azure, версии 23H2 или более поздней. Это помогает обеспечить гарантии работы этих виртуальных машин в других средах Azure.

Дополнительные сведения о предыдущей версии этой функции в локальной версии Azure версии 22H2 или более ранней см. в статье "Преимущества Azure в локальной среде Azure".

Преимущества, доступные в локальной среде Azure

Проверка Azure для виртуальной машины позволяет использовать эти преимущества, доступные только в локальной среде Azure:

Рабочая нагрузка	Что это	Как получить преимущества
Расширенное обновление системы безопасности (ESUs)	Получите обновления системы безопасности без дополнительных расходов на виртуальные машины SQL и Windows Server в локальной среде Azure. Дополнительные сведения см. в статье "Бесплатные расширенные обновления безопасности" (ESU) в локальной среде Azure.	Необходимо включить поддержку устаревшей ОС для старых виртуальных машин под управлением Windows Server 2012 или более ранней версии с последними обновлениями стека обслуживания.
Виртуальный рабочий стол Azure (AVD)	Узлы сеансов AVD могут выполняться только в инфраструктуре Azure. Активируйте виртуальные машины Windows с несколькими сеансами в Локальной среде Azure с помощью проверки виртуальной машины Azure. Требования к лицензированию AVD по-прежнему применяются. См . цены на виртуальный рабочий стол Azure.	Активируется автоматически для виртуальных машин под управлением Windows 11 с несколькими сеансами с обновлением 4B, выпущенным 9 апреля 2024 г. (22H2: KB5036893, 21H2: KB5036894) или более поздней версии. Необходимо включить поддержку устаревшей ОС для виртуальных машин под управлением Windows 10 с несколькими сеансами с обновлением 4B, выпущенным 9 апреля 2024 г. KB5036892 или более поздней версии.
Центр обработки данных Windows Server: Выпуск Azure	Виртуальные машины Azure Edition могут выполняться только в инфраструктуре Azure. Активируйте виртуальные машины Windows Server Azure Edition и используйте последние инновации Windows Server и другие эксклюзивные функции. Требования к лицензированию по-прежнему применяются. Узнайте, как лицензировать виртуальные машины Windows Server на локальной платформе Azure.	Активируется автоматически для виртуальных машин под управлением Windows Server Azure Edition 2022 с обновлением 4B, выпущенном 9 апреля 2024 г. (KB5036909) или более поздней версии.
Диспетчер обновлений Azure	Получите Диспетчер обновлений Azure без затрат. Эта служба предоставляет решение SaaS для управления обновлениями программного обеспечения виртуальных машин в локальной среде Azure и управления ими.	Доступно автоматически для виртуальных машин Arc, созданных с помощью моста ресурсов Arc в локальной среде Azure. С помощью Software Assurance вы можете проверить ваш компьютер, используя преимущества и лицензии Windows Server Azure от Arc, и бесплатно получить доступ к AUM. Дополнительные сведения см. в статье с часто задаваемыми вопросами о Диспетчере обновлений Azure.
Сведения о гостевой конфигурации службы "Политика Azure".	Получите Политика Azure гостевую конфигурацию без затрат. Это расширение Arc позволяет выполнять аудит и настройку параметров ОС в виде кода для компьютеров и виртуальных машин.	Агент Arc версии 1.39 или более поздней. См . последний выпуск агента Arc.

Примечание.

Чтобы обеспечить непрерывную функциональность, обновите виртуальные машины в локальной среде Azure до последнего накопительного обновления к 17 июня 2024 года. Это обновление важно для виртуальных машин для продолжения использования преимуществ Azure. Дополнительные сведения см. в записи локального блога Azure.

Управление проверкой виртуальной машины Azure

Проверка виртуальной машины Azure автоматически включена по умолчанию в локальной версии Azure, версии 23H2 или более поздней. Приведенные ниже инструкции описывают предварительные требования для использования этой функции и действий по управлению преимуществами (необязательно).

Примечание.

Чтобы включить расширенные обновления системы безопасности (ESUS), необходимо выполнить дополнительную настройку и включить поддержку устаревшей ОС.

Предварительные требования узла

• Убедитесь, что у вас есть доступ к Локальной версии Azure версии 23H2. Все компьютеры должны быть подключены, зарегистрированы и развернуты системой. Дополнительные сведения см. в статье "Регистрация компьютеров с помощью Arc" и см. в статье "Развертывание с помощью портал Azure".
• Установите Hyper-V и RSAT-Hyper-V-Tools.
• (Необязательно) Если вы используете Windows Admin Center, необходимо установить расширение Cluster Manager (версия 2.319.0) или более поздней версии.

Требования к ВМ

• Обязательно обновите виртуальные машины. См. требования к версии для рабочих нагрузок.

• Включите интерфейс гостевой службы Hyper-V. Инструкции по Windows Admin Center или PowerShell.

Вы можете управлять проверкой виртуальной машины Azure с помощью Windows Admin Center или PowerShell или просмотреть его состояние с помощью Azure CLI или портал Azure. В следующих разделах описаны все варианты.

Портал Azure

1. На странице "Локальный ресурс Azure" перейдите на вкладку "Конфигурация ".

2. Под функцией проверки Azure для виртуальных машин просмотрите состояние аттестации узла.

   

Azure CLI

Azure CLI доступна для установки в средах Windows, macOS и Linux. Его также можно запустить в Azure Cloud Shell. В этом разделе описывается использование Bash в Azure Cloud Shell. Дополнительные сведения см . в кратком руководстве по Azure Cloud Shell.

Запустите Azure Cloud Shell и используйте Azure CLI для проверки проверки виртуальной машины Azure, выполнив следующие действия.

1. Настройте параметры из подписки, группы ресурсов и имени кластера.

   subscription="00000000-0000-0000-0000-000000000000" # Replace with your subscription ID
   resourceGroup="local-rg" # Replace with your resource group name
   clusterName="LocalCluster" # Replace with your cluster name
   
   az account set --subscription "${subscription}"
   

2. Чтобы просмотреть состояние проверки виртуальной машины Azure в кластере, выполните следующую команду:

   az stack-hci cluster list \
   --resource-group "${resourceGroup}" \
   --query "[?name=='${clusterName}'].{Name:name, AzureBenefitsHostAttestation:reportedProperties.imdsAttestation}" \
   -o table
   

Windows Admin Center

Проверка состояния компьютера проверки виртуальной машины Azure

1. В Windows Admin Center выберите Cluster Manager в раскрывающемся меню, перейдите к системе, которую вы хотите активировать, а затем в разделе "Параметры" выберите проверку Azure для виртуальных машин.

2. Чтобы проверить состояние компьютера проверки виртуальной машины Azure, выполните следующие действия.

   • Состояние уровня кластера: состояние узла отображается как включено.

   • Состояние уровня сервера: на вкладке "Сервер " на панели мониторинга убедитесь, что состояние каждого компьютера отображается как "Активный " в таблице.

     

Устранение неполадок компьютеров

• На вкладке "Сервер" , если один или несколько компьютеров отображаются как просроченные:
  • Если компьютер не синхронизируется с Azure более 30 дней, его состояние отображается как истекший или неактивный. Выберите " Синхронизация с Azure ", чтобы запланировать синхронизацию вручную.

Управление преимуществами, активированными на виртуальных машинах

1. Чтобы проверить, какие преимущества активируются на виртуальных машинах, перейдите на вкладку виртуальных машин .

2. На панели мониторинга отображается количество виртуальных машин со следующими значениями:

   • Активные преимущества. Эти виртуальные машины активируются с помощью проверки виртуальной машины Azure.
   • Неактивные преимущества. Эти виртуальные машины имеют эксклюзивные функции Azure, требующие дальнейших действий перед активацией.
   • Неизвестно. Мы не можем определить подходящие преимущества для этих виртуальных машин, так как обмен данными Hyper-V отключен. См. следующий раздел по устранению неполадок.
   • Нет применимых преимуществ. Эти виртуальные машины не имеют эксклюзивных функций Azure и поэтому не требуют проверки виртуальной машины Azure.

3. В таблице отображается допустимое преимущество , применимое для каждой виртуальной машины. Полный список преимуществ, доступных в Azure Local.

   

Устранение неполадок виртуальных машин

• На вкладке "Виртуальные машины", если одна или несколько виртуальных машин отображаются как неактивные преимущества:

  • Если предлагаемое действие заключается в установке обновлений, возможно, у вас нет минимальной версии ОС, необходимой для преимущества. Обновите виртуальную машину в соответствии с требованиями к версии для рабочих нагрузок.
  • Если предлагаемое действие — включить интерфейс гостевой службы, выберите его и откройте область контекста, чтобы включить интерфейс гостевой службы Hyper-V. Эта функция необходима для взаимодействия виртуальных машин с узлом через VMbus.
  • Если предлагаемое действие касается устаревшей поддержки ОС, ознакомьтесь с устранением неполадок для поддержки устаревших ОС.

• На вкладке виртуальных машин, если одна или несколько виртуальных машин отображаются как неизвестные:

  • Если вы хотите определить преимущества, доступные для этих виртуальных машин, это можно сделать вручную, проверив полный список преимуществ, доступных в локальной среде Azure, или Центр администрирования Windows может отобразить эти сведения. Чтобы получить доступ к данным через Windows Admin Center, включите обмен данными Hyper-V (KVP) для виртуальных машин, выбрав действие, помеченное как Включение обмена данными Hyper-V.

PowerShell

Проверка состояния компьютера проверки виртуальной машины Azure

• При успешной настройке проверки виртуальной машины Azure можно просмотреть состояние узла. Проверьте аттестацию IMDS системного свойства, выполнив следующую команду:

  Get-AzureStackHCI
  

• Чтобы просмотреть состояние проверки виртуальной машины Azure для компьютеров, выполните следующую команду:

  Get-AzureStackHCIAttestation [[-ComputerName] <string>]
  

Устранение неполадок компьютеров

• Если проверка виртуальной машины Azure для одного или нескольких компьютеров еще не синхронизирована и продлена с Помощью Azure, она может отображаться как истекший или неактивный. Планирование синхронизации вручную:

  Sync-AzureStackHCI
  

Управление преимуществами, активированными на виртуальных машинах

• Чтобы проверить доступ к проверке виртуальной машины Azure для виртуальных машин, выполните следующую команду:

  Get-AzStackHCIVMAttestation
  

  Примечание.

  Виртуальная машина, поддерживаемая для версии 2 , может взаимодействовать с компьютером с помощью VMBus. И наоборот, поддерживаемая виртуальная машина версии 1 настроена с устаревшей поддержкой ОС и может получить доступ к проверке виртуальной машины Azure через REST. Если виртуальная машина поддерживает версию 1 и 2, используется метод версии 2 (т. е. VMBus), но он может вернуться к версии 1, если версия 2 сталкивается с проблемой.

Устранение неполадок виртуальных машин

• Чтобы настроить доступ к проверке виртуальной машины Azure для виртуальных машин, можно включить интерфейс гостевой службы Hyper-V.

  Чтобы проверить, включен ли интерфейс гостевой службы Hyper-V, выполните следующую команду:

  Get-VMIntegrationService [[-VMName] <VMName>] -Name "Guest Service Interface"
  

• Чтобы включить интерфейс гостевой службы Hyper-V, выполните следующие действия.

  Enable-VMIntegrationService [[-VMName] <VMName>] -Name "Guest Service Interface"
  

• Чтобы убедиться, что виртуальные машины могут получить доступ к проверке виртуальной машины Azure на узле, выполните следующую команду на узле:

  Invoke-RestMethod -Headers @{"Metadata"="true"} -Method GET -Uri "http://127.0.0.1:42542/metadata/attested/document?api-version=2018-10-01" –usedefaultcredentials
  

Поддержка устаревшей ОС

Для старых виртуальных машин, которые не имеют необходимых функций Hyper-V (гостевой интерфейс службы) для взаимодействия непосредственно с узлом, необходимо настроить традиционные сетевые компоненты для проверки виртуальной машины Azure. Если у вас есть эти рабочие нагрузки, например расширенные обновления системы безопасности (ESUs), следуйте инструкциям в этом разделе, чтобы настроить поддержку устаревшей ОС.

Портал Azure

В настоящее время вы не можете просмотреть устаревшую поддержку ОС из портал Azure.

Azure CLI

Azure CLI доступна для установки в средах Windows, macOS и Linux. Его также можно запустить в Azure Cloud Shell. В этом разделе описывается использование Bash в Azure Cloud Shell. Дополнительные сведения см. в кратком руководстве по Azure Cloud Shell.

Запустите Azure Cloud Shell и используйте Azure CLI для проверки проверки виртуальной машины Azure, выполнив следующие действия.

1. Настройте параметры из подписки, группы ресурсов и имени кластера:

   subscription="00000000-0000-0000-0000-000000000000" # Replace with your subscription ID
   resourceGroup="local-rg" # Replace with your resource group name
   clusterName="LocalCluster" # Replace with your cluster name
   
   az account set --subscription "${subscription}"
   

2. Чтобы просмотреть состояние поддержки устаревшей ОС в кластере, выполните следующую команду:

   az stack-hci cluster list \
   --resource-group "${resourceGroup}" \
   --query "[?name=='${clusterName}'].{Name:name, AzureBenefitsHostAttestation:reportedProperties.supportedCapabilities}" \
   -o table
   

Windows Admin Center

1. Включение поддержки устаревшей ОС на узле

1. В Windows Admin Center выберите Cluster Manager в раскрывающемся меню, перейдите к системе, которую вы хотите активировать, а затем в разделе "Параметры" выберите проверки Azure для виртуальных машин.

2. В разделе поддержки устаревшей ОС выберите "Изменить состояние". Выберите "Вкл." в области контекста. Этот параметр также обеспечивает сетевой доступ ко всем существующим виртуальным машинам. Необходимо вручную включить поддержку устаревшей ОС для всех новых виртуальных машин, создаваемых позже.

3. Выберите "Изменить состояние", чтобы подтвердить. Для отражения изменений может потребоваться несколько минут.

4. Если поддержка устаревшей ОС успешно включена:

   • Убедитесь, что поддержка устаревшей ОС отображается как включено.

   • На вкладке "Сервер" на панели мониторинга убедитесь, что устаревшая поддержка ОС для каждого компьютера отображается как "Включено " в таблице.

     

2. Включение доступа для новых виртуальных машин

Необходимо включить устаревшую сеть ОС для всех новых виртуальных машин, создаваемых после первой установки. Чтобы управлять доступом для виртуальных машин, перейдите на вкладку виртуальных машин . Любая виртуальная машина, требующая доступа к устаревшей ОС, отображается как неактивная. Выберите действие, чтобы настроить устаревшую сеть ОС для выбранной виртуальной машины или для всех существующих виртуальных машин в системе.

Примечание.

Чтобы успешно включить поддержку устаревшей ОС на виртуальных машинах поколения 1, сначала необходимо отключить виртуальную машину, чтобы включить добавление сетевого адаптера.

PowerShell

1. Включение поддержки устаревшей ОС на узле

• Выполните следующую команду из окна PowerShell с повышенными привилегиями в локальной среде Azure:

  Enable-AzStackHCIAttestation
  

• Или, если вы хотите добавить все существующие виртуальные машины в настройке, можно выполнить следующую команду:

  Enable-AzStackHCIAttestation -AddVM
  

• Убедитесь, что поддержка устаревшей ОС включена:

  Get-AzureStackHCIAttestation [[-ComputerName] <string>]
  

Устранение неполадок компьютеров

• Чтобы отключить и сбросить поддержку устаревшей ОС в системе, выполните следующую команду:

  Disable-AzStackHCIAttestation -RemoveVM
  

2. Включение доступа для виртуальных машин

• Чтобы настроить сетевой доступ для выбранных виртуальных машин, выполните следующую команду в локальной среде Azure:

  Add-AzStackHCIVMAttestation [-VMName]
  

• Чтобы добавить все существующие виртуальные машины, выполните следующую команду:

  Add-AzStackHCIVMAttestation -AddAll
  

• Получите список виртуальных машин, имеющих доступ к устаревшей поддержке ОС:

  Get-AzStackHCIVMAttestation
  

  Примечание.

  Чтобы успешно включить поддержку устаревшей ОС на виртуальных машинах поколения 1, сначала необходимо отключить виртуальную машину, чтобы включить добавление сетевого адаптера.

Устранение неполадок виртуальных машин

• Чтобы удалить доступ к устаревшей поддержке ОС для выбранных виртуальных машин:

  Remove-AzStackHCIVMAttestation -VMName <string>
  

  Кроме того, чтобы удалить доступ ко всем существующим виртуальным машинам, выполните приведенные действия.

  Remove-AzStackHCIVMAttestation -RemoveAll
  

• Чтобы проверить, что виртуальные машины могут получить доступ к устаревшей поддержке ОС на узле, выполните следующую команду на виртуальной машине:

  Invoke-RestMethod -Headers @{"Metadata"="true"} -Method GET -Uri http://169.254.169.253:80/metadata/attested/document?api-version=2018-10-01
  

Вопросы и ответы

В этом разделе приведены ответы на некоторые часто задаваемые вопросы об использовании преимуществ Azure.

Какие рабочие нагрузки, исключающие Azure, можно включить с помощью проверки виртуальной машины Azure?

Ознакомьтесь с полным списком здесь.

Стоит ли что-либо включить проверку виртуальной машины Azure?

№ Включение проверки виртуальной машины Azure не взимает дополнительных сборов.

Можно ли использовать проверку виртуальной машины Azure в средах, отличных от локальных?

№ Проверка виртуальной машины Azure — это функция, встроенная в локальную среду Azure, которая может использоваться только в локальной среде Azure.

Если я только что обновился до версии 23H2 с 22H2, и я ранее включил функцию "Преимущества Azure", нужно ли делать что-нибудь новое?

Если вы обновили систему, которая ранее имела преимущества Azure в локальной среде Azure для рабочих нагрузок, вам не нужно ничего делать при обновлении до локальной версии Azure версии 23H2. При обновлении компонент по-прежнему включен, а поддержка устаревшей ОС также включена. Однако если вы хотите использовать улучшенный способ взаимодействия между виртуальными машинами через шину виртуальной машины в версии 23H2, убедитесь, что у вас есть необходимые предварительные требования узла и необходимые компоненты виртуальной машины.

Я только что настроила проверку виртуальной машины Azure в моей системе. Разделы справки убедитесь, что проверка виртуальной машины Azure остается активной?

• В большинстве случаев не требуется никаких действий пользователя. Локальная служба Azure автоматически обновляет проверку виртуальной машины Azure при синхронизации с Azure.
• Однако если система отключается более 30 дней и проверка виртуальной машины Azure отображается как истекший срок действия, можно вручную синхронизировать с помощью PowerShell и Windows Admin Center. Дополнительные сведения см. в статье синхронизации локальной службы Azure.

Что происходит при развертывании новых виртуальных машин или удалении виртуальных машин?

• При развертывании новых виртуальных машин, требующих проверки виртуальной машины Azure, они автоматически активируются при наличии необходимых компонентов виртуальной машины.

• Однако для устаревших виртуальных машин с помощью поддержки устаревшей ОС можно вручную добавить новые виртуальные машины для доступа к проверке виртуальной машины Azure с помощью Windows Admin Center или PowerShell, используя приведенные выше инструкции.

• Вы по-прежнему можете удалять и переносить виртуальные машины как обычно. Сетевой адаптер AZSHCI_GUEST-IMDS_DO_NOT_MODIFY по-прежнему существует на виртуальной машине после миграции. Чтобы очистить сетевой адаптер перед миграцией, можно удалить виртуальные машины из проверки виртуальной машины Azure с помощью Windows Admin Center или PowerShell, используя предыдущие инструкции по поддержке устаревших ОС, или сначала перенести и вручную удалить сетевые адаптеры.

Что происходит при добавлении или удалении компьютеров?

• При добавлении компьютера он автоматически активируется, если он имеет правильные предварительные требования узла.
• Если вы используете поддержку устаревшей ОС, возможно, потребуется вручную включить эти компьютеры. Запустите Enable-AzStackHCIAttestation [[-ComputerName] <String>] в PowerShell. Вы по-прежнему можете удалять компьютеры или удалять их из системы как обычно. VSwitch AZSHCI_HOST-IMDS_DO_NOT_MODIFY по-прежнему существует на компьютере после удаления из системы. Вы можете оставить его, если вы планируете добавить компьютер обратно в систему позже или удалить его вручную.

Следующие шаги

• Расширенные обновления безопасности (ESU) в локальной среде Azure.
• Общие сведения о локальной среде Azure.
• Вопросы и ответы по локальной службе Azure.