Azure 本地 VM 的 Azure 验证

适用于:Azure 本地版本 23H2

Microsoft Azure 提供了一系列仅为在 Azure 上运行的差异化工作负载和功能。 Azure 本地扩展了从 Azure 获取的许多相同优势,同时在同一熟悉且高性能的本地或边缘环境中运行。

VM 的 Azure 验证使受支持的 Azure 独占工作负荷能够在云外部工作。 此功能在 Azure 中的 IMDS 证明服务之后建模,是默认在 Azure 本地版本 23H2 或更高版本上启用的内置平台证明服务。 这有助于为这些 VM 提供在其他 Azure 环境中运行的保证。

有关 Azure 本地版本 22H2 或更高版本上此功能的早期版本的详细信息,请参阅 Azure 本地版的 Azure 权益。

Azure 本地可用的权益

通过适用于 VM 的 Azure 验证,可以使用仅在 Azure 本地可用的这些优势:

工作负荷 介绍 如何获取权益
扩展安全更新 (ESU) 对于 Azure 本地上的 SQL 和 Windows Server VM,无需额外付费即可获取安全更新。
有关详细信息,请参阅 Azure 本地的免费扩展安全更新(ESU)。
必须使用最新服务堆栈更新为运行 Windows Server 2012 或更高版本的旧 VM 启用旧版 OS 支持
Azure 虚拟桌面 (AVD) AVD 会话主机只能在 Azure 基础结构上运行。 使用 Azure VM 验证在 Azure 本地激活 Windows 多会话 VM。
AVD 的许可要求仍适用。 请参阅 Azure 虚拟桌面定价
为运行版本 Windows 11 多会话的 VM 自动激活,2024 年 4 月 9 日发布的 4B 更新(22H2: KB5036893,21H2KB5036894)或更高版本。 必须为运行版本 Windows 10 多会话且 2024 年 4 月 9 日发布的 4B 更新的 VM 启用旧版 OS 支持,KB5036892或更高版本。
Windows Server Datacenter:Azure Edition Azure Edition VM 只能在 Azure 基础结构上运行。 激活 Windows Server Azure Edition VM,并使用最新的 Windows Server 创新和其他独占功能。
许可要求仍适用。 查看在 Azure 本地设备上许可 Windows Server VM 的方法。
在 2024 年 4 月 9 日(KB5036909)或更高版本上发布了 4B 更新的运行 Windows Server Azure Edition 2022 的 VM 自动激活。
Azure 更新管理器 不付费获取 Azure 更新管理器 。 此服务提供 SaaS 解决方案,用于管理和管理 Azure 本地 VM 的软件更新。 自动适用于 Arc VM。 必须为非 Arc VM 启用 Azure 验证。 有关详细信息,请参阅 Azure 更新管理器常见问题解答
Azure Policy 来宾配置 不付费获取 Azure Policy 来宾配置 。 此 Arc 扩展允许审核和配置 OS 设置作为计算机和 VM 的代码。 Arc 代理版本 1.39 或更高版本。 请参阅 最新的 Arc 代理版本

注意

若要确保持续功能,请在 2024 年 6 月 17 日之前将 Azure 本地上的 VM 更新为最新的累积更新。 此更新对于 VM 继续使用 Azure 权益至关重要。 有关详细信息, 请参阅 Azure 本地博客文章

管理 Azure VM 验证

Azure VM 验证默认在 Azure 本地版本 23H2 或更高版本中自动启用。 以下说明概述了使用此功能的先决条件以及管理权益的步骤(可选)。

注意

若要启用扩展安全更新(ESU),必须执行其他设置并启用 旧版 OS 支持

主机先决条件

  • 请确保有权访问 Azure 本地版本 23H2。 所有计算机都必须联机、注册和系统部署。 有关详细信息,请参阅使用 Arc 注册计算机,并参阅通过Azure 门户部署。
  • 安装 Hyper-V 和 RSAT-Hyper-V-Tools
  • (可选)如果使用 Windows Admin Center,则必须安装群集管理器扩展(版本 2.319.0)或更高版本。

VM 先决条件

可以使用 Windows Admin Center 或 PowerShell 管理 Azure VM 验证,也可以使用 Azure CLI 或 Azure 门户查看其状态。 以下部分详细介绍了每种选项。

  1. 在 Azure 本地资源页中,导航到 “配置 ”选项卡。

  2. 在 VM 的功能 Azure 验证下,查看主机证明状态。

    显示门户上的系统状态的屏幕截图。

旧版 OS 支持

对于缺少所需的 Hyper-V 功能(来宾服务接口)来与主机直接通信的旧 VM,必须配置用于 Azure VM 验证的传统网络组件。 如果有这些工作负载(如扩展安全更新(ESU),请按照本部分中的说明设置旧版 OS 支持。

目前无法查看Azure 门户的旧版 OS 支持。

常见问题解答

本部分提供有关使用 Azure 权益的一些常见问题的解答。

可以使用 Azure VM 验证启用哪些 Azure 独占工作负荷?

请参阅此处的完整列表

启用 Azure VM 验证是否需要花费任何费用?

否。 启用 Azure VM 验证不会产生额外的费用。

是否可以在 Azure 本地以外的环境中使用 Azure VM 验证?

否。 Azure VM 验证是 Azure 本地内置的一项功能,只能在 Azure 本地上使用。

如果刚刚从 22H2 升级到版本 23H2,并且以前启用了 Azure 权益功能,是否需要执行任何新操作?

如果升级了以前 为工作负载设置了 Azure 本地 权益的系统,则升级到 Azure 本地版本 23H2 时无需执行任何操作。 升级时,该功能仍处于启用状态,旧版 OS 支持也处于打开状态。 但是,如果要使用改进的方法来通过版本 23H2 中的 VM 总线进行 VM 到主机通信,请确保具有所需的 主机先决条件VM 先决条件

我只是在系统上设置 Azure VM 验证。 如何实现确保 Azure VM 验证保持活动状态?

  • 在大多数情况下,不需要用户执行任何操作。 Azure 本地在与 Azure 同步时自动续订 Azure VM 验证。
  • 但是,如果系统断开连接超过 30 天,Azure VM 验证显示为 “已过期”,则可以使用 PowerShell 和 Windows Admin Center 手动同步。 有关详细信息,请参阅 同步 Azure 本地

部署新 VM 或删除 VM 时会发生什么情况?

  • 部署需要 Azure VM 验证的新 VM 时,如果 VM 满足正确的 VM 先决条件,系统会自动激活这些 VM。

  • 但是,对于使用旧版 OS 支持的旧 VM,可以使用前面的说明手动添加新 VM 以使用 Windows Admin Center 或 PowerShell 访问 Azure VM 验证。

  • 仍可以像平常一样删除和迁移 VM。 迁移后,VM 上仍存在 NIC AZSHCI_GUEST IMDS_DO_NOT_MODIFY 。 若要在迁移之前清理 NIC,可以使用 Windows Admin Center 或 PowerShell 从 Azure VM 验证中删除 VM,并使用上述旧版 OS 支持说明删除 VM,也可以先迁移,然后手动删除 NIC。

添加或删除计算机时会发生什么情况?

  • 添加计算机时,如果计算机具有正确的 主机先决条件,则会自动激活它。
  • 如果使用旧版 OS 支持,可能需要手动启用这些计算机。 在 PowerShell 中运行 Enable-AzStackHCIAttestation [[-ComputerName] <String>]。 仍可以像往常一样从系统中删除计算机或将其删除。 从系统中删除后,vSwitch AZSHCI_HOST-IMDS_DO_NOT_MODIFY 仍存在于计算机上。 如果计划稍后将计算机添加回系统,或者可以手动将其删除,则可以将其保留。

后续步骤