Distribuera betrodd start för virtuella Azure Arc-datorer på Azure Local, version 23H2

Gäller för: Azure Local, version 23H2

I den här artikeln beskrivs hur du distribuerar betrodd start för virtuella Azure Arc-datorer på Azure Local version 23H2.

Förutsättningar

Kontrollera att du har åtkomst till ett Azure Local version 23H2-system som har distribuerats och registrerats med Azure. Mer information finns i distribuera med hjälp av Azure Portal.

Skapa en virtuell Arc-dator med betrodd start

Du kan skapa en betrodd virtuell startdator med hjälp av Azure Portal eller med hjälp av Azure Command-Line Interface (CLI). Använd flikarna nedan för att välja en metod.

Azure-portalen

Om du vill skapa en virtuell Arc-dator med betrodd start på Azure Local följer du stegen i Skapa virtuella Arc-datorer på Azure Local med hjälp av Azure Portal med följande ändringar:

1. När du skapar den virtuella datorn väljer du Betrodda starta virtuella datorer för säkerhetstyp.

   

2. Välj en vm-gästoperativsystemavbildning i listan över avbildningar som stöds:

   

3. När en virtuell dator har skapats går du till egenskapssidan för den virtuella datorn och kontrollerar att säkerhetstypen som visas är Betrodd start.

   

Azure CLI

Om du vill skapa en virtuell Arc-dator med betrodd start på Azure Local följer du stegen i Skapa virtuella Arc-datorer på Azure Local med hjälp av Azure CLI med följande ändringar:

1. Skapa en VM-avbildning med hjälp av en vm-gästoperativsystemavbildning som stöds genom betrodd start från Azure Marketplace. Mer information finns i Skapa en lokal virtuell Azure-avbildning med Azure Marketplace.

2. Skapa en virtuell dator med CLI på följande sätt:

   $vmName="<Name of the VM>" 
   $subscription="<Subscription ID associated with your Azure Local system>" 
   $resourceGroup="<Resource group name for your Azure Local system>" 
   $location="<Location for your Azure Local system>" 
   $customLocationID=(az customlocation show --resource-group $resource_group --name "<custom location name for your Azure Local system>" --query id -o tsv) 
   $guestName="<Name of the guest>" 
   $userName="<Username for VM>" 
   $password="<Password for VM>" 
   $galleryImageName="<Name of VM guest image>" 
   $vNic="<Name of virtual network interface>" 
   
   az stack-hci-vm create --name $vmName --subscription $subscription --resource-group $resourceGroup --custom-location=$customLocationID --location $location --size="Default" --computer-name $guestName --admin-username $userName --admin-password $password --image $galleryImageName --nics $vNic --enable-secure-boot true --enable-vtpm true --security-type "TrustedLaunch"
   

   Exempel på utdata:

   {
     "extendedLocation": {
       "name": "/subscriptions/myhci-sub/resourceGroups/myhci-rg/Microsoft.ExtendedLocation/customLocations/myhci-cl",
       "type": "CustomLocation"
     },
     "id": "/subscriptions/myhci-sub/resourceGroups/myhci-rg/providers/Microsoft.HybridCompute/machines/tvm1/providers/Microsoft.AzureStackHCI/virtualMachineInstances/default",
     "name": "default",
     "properties": {
       "hardwareProfile": {
         "dynamicMemoryConfig": {
           "maximumMemoryMb": null,
           "minimumMemoryMb": null,
           "targetMemoryBuffer": null
         },
         "memoryMb": 4096,
         "processors": 4,
         "vmSize": "Custom"
       },
       "instanceView": {
         "vmAgent": {
           "statuses": []
         }
       },
       "networkProfile": {
         "networkInterfaces": [
           {
             "id": "ram-nic"
           }
         ]
       },
       "osProfile": {
         "adminPassword": null,
         "adminUsername": "admin",
         "computerName": "myhci-tvm",
         "linuxConfiguration": {
           "disablePasswordAuthentication": null,
           "provisionVmAgent": false,
           "provisionVmConfigAgent": false,
           "ssh": {
             "publicKeys": null
           }
         },
         "windowsConfiguration": {
           "enableAutomaticUpdates": null,
           "provisionVmAgent": false,
           "provisionVmConfigAgent": false,
           "ssh": {
             "publicKeys": null
           },
           "timeZone": null
         }
       },
       "provisioningState": "Succeeded",
       "securityProfile": {
         "enableTpm": true,
         "securityType": "TrustedLaunch",
         "uefiSettings": {
           "secureBootEnabled": true
         }
       },
       "status": {
         "powerState": "Running"
       },
       "storageProfile": {
         "dataDisks": [],
         "imageReference": {
           "id": "/subscriptions/myhci-sub/resourceGroups/myhci-rg/providers/Microsoft.AzureStackHCI/marketplacegalleryimages/Win11EntMulti21H2",
           "resourceGroup": "myhci-rg"
         },
         "osDisk": {
           "id": null,
           "osType": "Windows"
         },
         "storagepathId": null
       },
       "vmId": "myhci-tvm-1234567890"
     },
     "resourceGroup": "myhci-rg",
     "systemData": {
       "createdAt": "2023-10-24T19:15:47.152610+00:00",
       "createdBy": "registration@contoso.com",
       "createdByType": "User",
       "lastModifiedAt": "2023-10-24T19:41:05.196469+00:00",
       "lastModifiedBy": "319f651f-7ddb-4fc6-9857-7aef9250bd05",
       "lastModifiedByType": "Application"
     },
     "tags": null,
     "type": "microsoft.azurestackhci/virtualmachineinstances"
   }
   

3. När den virtuella datorn har skapats kontrollerar du säkerhetstypen för den virtuella datorn som betrodd start.

4. Kör följande cmdlet för att hitta den virtuella datorns ägarnod:

   Get-ClusterGroup $vmName
   

5. Kör följande cmdlet på den virtuella datorns ägarnod:

   (Get-VM $vmName).GuestStateIsolationType
   

6. Kontrollera att värdet TrustedLaunch returneras.

Exempel

I det här exemplet visas en virtuell Arc-dator med betrodd start som kör Windows 11-gäst med BitLocker-kryptering aktiverat. Här utför du stegen för att träna scenariot:

1. Skapa en virtuell Arc-dator med betrodd start som kör ett Windows 11-gästoperativsystem som stöds.

2. Aktivera BitLocker-kryptering för OS-volymen på Win 11-gästen.

   Logga in på Windows 11-gästen och aktivera BitLocker-kryptering (för OS-volymen): I sökrutan i aktivitetsfältet skriver du Hantera BitLocker och väljer den sedan i listan med resultat. Välj Aktivera BitLocker och följ sedan anvisningarna för att kryptera OS-volymen (C:). BitLocker använder vTPM som nyckelskydd för OS-volymen.

3. Migrera den virtuella datorn till en annan nod i klustret. Kör följande PowerShell-kommando:

   Move-ClusterVirtualMachineRole -Name $vmName -Node <destination node name> -MigrationType Shutdown
   

4. Bekräfta att den virtuella datorns ägarnod är den angivna målnoden:

   Get-ClusterGroup $vmName
   

5. När vm-migreringen har slutförts kontrollerar du om den virtuella datorn är tillgänglig och BitLocker är aktiverat.

6. Kontrollera om du kan logga in på Windows 11-gästen på den virtuella datorn och om BitLocker-kryptering för OS-volymen förblir aktiverad. Om du kan göra detta bekräftar detta att vTPM-tillståndet bevarades under VM-migreringen.

   Om vTPM-tillståndet inte bevarades under VM-migreringen skulle start av virtuella datorer ha resulterat i BitLocker-återställning under gäststarten. Du skulle alltså ha blivit ombedd att ange BitLocker-återställningslösenordet när du försökte logga in på Windows 11-gästen. Detta berodde på att startmåtten (lagrade i vTPM) för den migrerade virtuella datorn på målnoden skilde sig från den ursprungliga virtuella datorns.

7. Tvinga den virtuella datorn att redundansväxlar till en annan nod i klustret.

   1. Bekräfta den virtuella datorns ägarnod med det här kommandot:

      Get-ClusterGroup $vmName
      

   2. Använd Klusterhanteraren för växling vid fel för att stoppa klustertjänsten på ägarnoden enligt följande: Välj ägarnoden som visas i Klusterhanteraren för växling vid fel.  I rutan Åtgärder till höger väljer du Fler åtgärder och sedan Stoppa klustertjänsten.

   3. Om klustertjänsten stoppas på ägarnoden migreras den virtuella datorn automatiskt till en annan tillgänglig nod i klustret. Starta om klustertjänsten efteråt.

8. När redundansväxlingen är klar kontrollerar du om den virtuella datorn är tillgänglig och BitLocker har aktiverats efter redundansväxlingen.

9. Bekräfta att den virtuella datorns ägarnod är den angivna målnoden:

   Get-ClusterGroup $vmName
   

Nästa steg

• Hantera den betrodda startnyckeln för Arc VM-gästtillståndsskydd.