Introduktion till betrodd start för virtuella Azure Arc-datorer på Azure Local, version 23H2
Gäller för: Azure Local, version 23H2
Den här artikeln beskriver betrodd start för virtuella Azure Arc-datorer på Azure Local version 23H2. Du kan skapa en virtuell Arc-dator med betrodd start med hjälp av Azure Portal eller med hjälp av Azure Command-Line Interface (CLI).
Introduktion
Betrodd start för virtuella Azure Arc-datorer stöder säker start, virtuell betrodd plattformsmodul (vTPM) och vTPM-tillståndsöverföring när en virtuell dator migreras eller redundansväxlar i ett kluster.
Betrodd start är en säkerhetstyp som kan anges när du skapar virtuella Arc-datorer på Azure Local. Mer information finns i Betrodd start för virtuella Azure Arc-datorer på Azure Local.
Funktioner och fördelar
| Kapacitet | Förmån |
|---|---|
| Säker start | Hjälper till att minska risken för skadlig kod (rootkits) under starten genom att kontrollera att startkomponenter är signerade av betrodda utgivare. |
| vTPM | Virtualiserad version av en maskinvaru-TPM som fungerar som ett dedikerat valv för nycklar, certifikat och hemligheter. |
| vTPM-tillståndsöverföring | Bevarar vTPM när den virtuella datorn migrerar eller redundansväxlar i ett kluster. |
| Virtualiseringsbaserad säkerhet (VBS) | Gäst på den virtuella datorn kan skapa isolerade minnesregioner med hjälp av VBS-stöd. |
Kommentar
Integritetsverifiering av vm-gäststart är inte tillgängligt.
Vägledning
IgvmAgent är en komponent som är installerad på alla noder i det lokala Azure-systemet. Det ger stöd för isolerade virtuella datorer, till exempel betrodda startdatorer i Arc.
Som en del av skapandet av en betrodd start av den virtuella Arc-datorn skapar Hyper-V VM-filer på disken för att lagra den virtuella datorns tillstånd. Som standard är åtkomsten till de virtuella datorfilerna begränsad till värdserveradministratörer. Värdadministratörer måste se till att platsen där de virtuella datorfilerna lagras alltid förblir korrekt åtkomstbegränsad.
Nätverkstrafiken för virtuell dator med direktmigrering är inte krypterad. Vi rekommenderar starkt att du aktiverar en nätverksnivåkrypteringsteknik som IPsec för att skydda nätverkstrafiken för direktmigrering.
Avbildningar av gästoperativsystem
Följande VM-gästoperativsystemavbildningar från Azure Marketplace stöds. Vm-avbildningen kan skapas med hjälp av Azure Portal eller Azure CLI.
Mer information finns i Skapa en lokal virtuell Azure-avbildning med Azure Marketplace.
| Name | Publisher | Erbjudande | SKU | Versionsnummer |
|---|---|---|---|---|
| Windows 11 Enterprise multi-session, version 22H2 – Gen2 | microsoftwindowsdesktop | windows-11 | win11-22h2-avd | 22621.2428.231001 |
| Windows 11 Enterprise multi-session, version 22H2 + Microsoft 365-applikationer (förhandsversion) - Gen2 | microsoftwindowsdesktop | windows11förhandsvy | win11-22h2-avd-m365 | 22621.382.220810 |
| Windows 11 Enterprise multi-session, version 21H2 – Gen2 | microsoftwindowsdesktop | windows-11 | win11-21h2-avd | 22000.2538.231001 |
| Windows 11 Enterprise med flera sessioner, version 21H2 + Microsoft 365-applikationer – Gen2 | microsoftwindowsdesktop | office-365 | win10-21h2-avd-m365-g2 | 19044.3570.231010 |
Kommentar
Vm-gästavbildningar som hämtas utanför Azure Marketplace stöds inte.
Nästa steg
- Distribuera virtuella Arc-datorer med betrodd start.