Развертывание доверенного запуска для виртуальных машин Azure Arc на локальной платформе Azure версии 23H2

Область применения: Azure Local 2311.2 и более поздних версий

В этой статье описывается развертывание доверенного запуска для виртуальных машин Azure Arc в локальной версии 23H2.

Необходимые компоненты

Убедитесь, что у вас есть доступ к локальной системе Azure версии 23H2, развернутой и зарегистрированной в Azure. Дополнительные сведения см. в статье о развертывании с помощью портал Azure.

Создание доверенной виртуальной машины запуска Arc

Вы можете создать надежную виртуальную машину запуска с помощью портал Azure или с помощью интерфейс командной строки Azure (CLI). Чтобы выбрать метод, используйте приведенные ниже вкладки.

Портал Azure

Чтобы создать виртуальную машину доверенного запуска Arc в локальной среде Azure, выполните действия, описанные в статье "Создание виртуальных машин Arc на локальной платформе Azure" с помощью портал Azure со следующими изменениями:

1. При создании виртуальной машины выберите доверенные виртуальные машины запуска для типа безопасности.

   

2. Выберите образ гостевой ОС виртуальной машины из списка поддерживаемых образов:

   

3. После создания виртуальной машины перейдите на страницу свойств виртуальной машины и убедитесь, что показанный тип безопасности — доверенный запуск.

   

Azure CLI

Чтобы создать надежную виртуальную машину Arc на локальной платформе Azure, выполните действия, описанные в статье "Создание виртуальных машин Arc на локальном компьютере Azure" с помощью Azure CLI, выполнив следующие изменения:

1. Создайте образ виртуальной машины с помощью поддерживаемого образа гостевой ОС виртуальной машины с помощью доверенного запуска из Azure Marketplace. Дополнительные сведения см. в статье "Создание образа локальной виртуальной машины Azure" с помощью Azure Marketplace.

2. Создайте виртуальную машину с помощью интерфейса командной строки следующим образом:

   $vmName="<Name of the VM>" 
   $subscription="<Subscription ID associated with your Azure Local system>" 
   $resourceGroup="<Resource group name for your Azure Local system>" 
   $location="<Location for your Azure Local system>" 
   $customLocationID=(az customlocation show --resource-group $resource_group --name "<custom location name for your Azure Local system>" --query id -o tsv) 
   $guestName="<Name of the guest>" 
   $userName="<Username for VM>" 
   $password="<Password for VM>" 
   $galleryImageName="<Name of VM guest image>" 
   $vNic="<Name of virtual network interface>" 
   
   az stack-hci-vm create --name $vmName --subscription $subscription --resource-group $resourceGroup --custom-location=$customLocationID --location $location --size="Default" --computer-name $guestName --admin-username $userName --admin-password $password --image $galleryImageName --nics $vNic --enable-secure-boot true --enable-vtpm true --security-type "TrustedLaunch"
   

   Образец вывода:

   {
     "extendedLocation": {
       "name": "/subscriptions/myhci-sub/resourceGroups/myhci-rg/Microsoft.ExtendedLocation/customLocations/myhci-cl",
       "type": "CustomLocation"
     },
     "id": "/subscriptions/myhci-sub/resourceGroups/myhci-rg/providers/Microsoft.HybridCompute/machines/tvm1/providers/Microsoft.AzureStackHCI/virtualMachineInstances/default",
     "name": "default",
     "properties": {
       "hardwareProfile": {
         "dynamicMemoryConfig": {
           "maximumMemoryMb": null,
           "minimumMemoryMb": null,
           "targetMemoryBuffer": null
         },
         "memoryMb": 4096,
         "processors": 4,
         "vmSize": "Custom"
       },
       "instanceView": {
         "vmAgent": {
           "statuses": []
         }
       },
       "networkProfile": {
         "networkInterfaces": [
           {
             "id": "ram-nic"
           }
         ]
       },
       "osProfile": {
         "adminPassword": null,
         "adminUsername": "admin",
         "computerName": "myhci-tvm",
         "linuxConfiguration": {
           "disablePasswordAuthentication": null,
           "provisionVmAgent": false,
           "provisionVmConfigAgent": false,
           "ssh": {
             "publicKeys": null
           }
         },
         "windowsConfiguration": {
           "enableAutomaticUpdates": null,
           "provisionVmAgent": false,
           "provisionVmConfigAgent": false,
           "ssh": {
             "publicKeys": null
           },
           "timeZone": null
         }
       },
       "provisioningState": "Succeeded",
       "securityProfile": {
         "enableTpm": true,
         "securityType": "TrustedLaunch",
         "uefiSettings": {
           "secureBootEnabled": true
         }
       },
       "status": {
         "powerState": "Running"
       },
       "storageProfile": {
         "dataDisks": [],
         "imageReference": {
           "id": "/subscriptions/myhci-sub/resourceGroups/myhci-rg/providers/Microsoft.AzureStackHCI/marketplacegalleryimages/Win11EntMulti21H2",
           "resourceGroup": "myhci-rg"
         },
         "osDisk": {
           "id": null,
           "osType": "Windows"
         },
         "storagepathId": null
       },
       "vmId": "myhci-tvm-1234567890"
     },
     "resourceGroup": "myhci-rg",
     "systemData": {
       "createdAt": "2023-10-24T19:15:47.152610+00:00",
       "createdBy": "registration@contoso.com",
       "createdByType": "User",
       "lastModifiedAt": "2023-10-24T19:41:05.196469+00:00",
       "lastModifiedBy": "319f651f-7ddb-4fc6-9857-7aef9250bd05",
       "lastModifiedByType": "Application"
     },
     "tags": null,
     "type": "microsoft.azurestackhci/virtualmachineinstances"
   }
   

3. После создания виртуальной машины проверьте тип безопасности виртуальной машины как доверенный запуск.

4. Выполните следующий командлет, чтобы найти узел владельца виртуальной машины:

   Get-ClusterGroup $vmName
   

5. Выполните следующий командлет на узле владельца виртуальной машины:

   (Get-VM $vmName).GuestStateIsolationType
   

6. Убедитесь, что возвращается значение TrustedLaunch .

Пример

В этом примере показана надежная виртуальная машина запуска Arc под управлением гостевой ос Windows 11 с включенным шифрованием BitLocker. Ниже приведены действия по выполнению сценария:

1. Создайте надежную виртуальную машину Arc под управлением поддерживаемой гостевой операционной системы Windows 11.

2. Включите шифрование BitLocker для тома ОС на гостевой машине Win 11.

   Войдите в гостевую систему Windows 11 и включите шифрование BitLocker (для тома ОС): в поле поиска на панели задач введите "Управление BitLocker", а затем выберите его из списка результатов. Выберите "Включить BitLocker ", а затем следуйте инструкциям по шифрованию тома ОС (C:). BitLocker будет использовать vTPM в качестве средства защиты ключей для тома ОС.

3. Перенос виртуальной машины на другой узел в кластере. Выполните следующую команду PowerShell:

   Move-ClusterVirtualMachineRole -Name $vmName -Node <destination node name> -MigrationType Shutdown
   

4. Убедитесь, что узел владельца виртуальной машины является указанным конечным узлом:

   Get-ClusterGroup $vmName
   

5. После завершения миграции виртуальной машины убедитесь, что виртуальная машина доступна и bitLocker включена.

6. Проверьте, можно ли войти в гостевую машину Windows 11 и включить шифрование BitLocker для тома ОС. Если это можно сделать, это подтверждает сохранение состояния VTPM во время миграции виртуальной машины.

   Если состояние vTPM не сохранялось во время миграции виртуальных машин, запуск виртуальной машины привел бы к восстановлению BitLocker во время гостевой загрузки. Таким образом, при попытке входа в гостевую версию Windows 11 вам будет предложено ввести пароль восстановления BitLocker. Это было связано с тем, что измерения загрузки (хранящиеся в vTPM) перенесенной виртуальной машины на целевом узле отличаются от исходной виртуальной машины.

7. Принудительное отработка отказа виртуальной машины на другой узел в кластере.

   1. Подтвердите узел владельца виртуальной машины с помощью этой команды:

      Get-ClusterGroup $vmName
      

   2. Используйте диспетчер отказоустойчивых кластеров, чтобы остановить службу кластера на узле владельца следующим образом: выберите узел владельца, как показано в диспетчере отказоустойчивых кластеров.  В правой области "Действия " выберите "Дополнительные действия" и выберите "Остановить службу кластера".

   3. Остановка службы кластера на узле владельца приведет к автоматической миграции виртуальной машины на другой доступный узел в кластере. Затем перезапустите службу кластера.

8. После завершения отработки отказа убедитесь, что виртуальная машина доступна и BitLocker включена после отработки отказа.

9. Убедитесь, что узел владельца виртуальной машины является указанным конечным узлом:

   Get-ClusterGroup $vmName
   

Следующие шаги

• Управление ключом защиты гостевого состояния виртуальной машины Arc для доверенного запуска.