在 Azure 本地版本 23H2 上部署 Azure Arc VM 的受信任启动

适用于：Azure 本地版本 23H2

本文介绍如何在 Azure 本地版本 23H2 上为 Azure Arc 虚拟机（VM）部署受信任的启动。

先决条件

确保有权访问部署并注册到 Azure 的 Azure 本地版本 23H2 系统。 有关详细信息，请参阅使用Azure 门户进行部署。

创建受信任的启动 Arc VM

可以使用Azure 门户或使用 Azure 命令行接口 （CLI） 创建受信任的启动 VM。 使用下面的选项卡选择方法。

Azure 门户

若要在 Azure 本地创建受信任的启动 Arc VM，请按照使用 Azure 门户 在 Azure 本地创建 Arc 虚拟机中的步骤进行操作，并进行了以下更改：

1. 创建 VM 时，请选择 “受信任的启动虚拟机 ”以用于安全类型。

   

2. 从支持的映像列表中选择 VM 来宾 OS 映像：

   

3. 创建 VM 后，转到 “VM 属性 ”页，并验证显示的安全类型是否为 “受信任”启动。

   

Azure CLI

若要在本地 Azure 上创建受信任的启动 Arc VM，请按照 Azure CLI 在 Azure 本地创建 Arc 虚拟机中的步骤进行操作，并进行了以下更改：

1. 从 Azure 市场 启动受信任的 VM 来宾 OS 映像，使用受支持的 VM 来宾 OS 映像创建 VM 映像。 有关详细信息，请参阅使用Azure 市场创建 Azure 本地 VM 映像。

2. 使用 CLI 创建 VM，如下所示：

   $vmName="<Name of the VM>" 
   $subscription="<Subscription ID associated with your Azure Local system>" 
   $resourceGroup="<Resource group name for your Azure Local system>" 
   $location="<Location for your Azure Local system>" 
   $customLocationID=(az customlocation show --resource-group $resource_group --name "<custom location name for your Azure Local system>" --query id -o tsv) 
   $guestName="<Name of the guest>" 
   $userName="<Username for VM>" 
   $password="<Password for VM>" 
   $galleryImageName="<Name of VM guest image>" 
   $vNic="<Name of virtual network interface>" 
   
   az stack-hci-vm create --name $vmName --subscription $subscription --resource-group $resourceGroup --custom-location=$customLocationID --location $location --size="Default" --computer-name $guestName --admin-username $userName --admin-password $password --image $galleryImageName --nics $vNic --enable-secure-boot true --enable-vtpm true --security-type "TrustedLaunch"
   

   示例输出：

   {
     "extendedLocation": {
       "name": "/subscriptions/myhci-sub/resourceGroups/myhci-rg/Microsoft.ExtendedLocation/customLocations/myhci-cl",
       "type": "CustomLocation"
     },
     "id": "/subscriptions/myhci-sub/resourceGroups/myhci-rg/providers/Microsoft.HybridCompute/machines/tvm1/providers/Microsoft.AzureStackHCI/virtualMachineInstances/default",
     "name": "default",
     "properties": {
       "hardwareProfile": {
         "dynamicMemoryConfig": {
           "maximumMemoryMb": null,
           "minimumMemoryMb": null,
           "targetMemoryBuffer": null
         },
         "memoryMb": 4096,
         "processors": 4,
         "vmSize": "Custom"
       },
       "instanceView": {
         "vmAgent": {
           "statuses": []
         }
       },
       "networkProfile": {
         "networkInterfaces": [
           {
             "id": "ram-nic"
           }
         ]
       },
       "osProfile": {
         "adminPassword": null,
         "adminUsername": "admin",
         "computerName": "myhci-tvm",
         "linuxConfiguration": {
           "disablePasswordAuthentication": null,
           "provisionVmAgent": false,
           "provisionVmConfigAgent": false,
           "ssh": {
             "publicKeys": null
           }
         },
         "windowsConfiguration": {
           "enableAutomaticUpdates": null,
           "provisionVmAgent": false,
           "provisionVmConfigAgent": false,
           "ssh": {
             "publicKeys": null
           },
           "timeZone": null
         }
       },
       "provisioningState": "Succeeded",
       "securityProfile": {
         "enableTpm": true,
         "securityType": "TrustedLaunch",
         "uefiSettings": {
           "secureBootEnabled": true
         }
       },
       "status": {
         "powerState": "Running"
       },
       "storageProfile": {
         "dataDisks": [],
         "imageReference": {
           "id": "/subscriptions/myhci-sub/resourceGroups/myhci-rg/providers/Microsoft.AzureStackHCI/marketplacegalleryimages/Win11EntMulti21H2",
           "resourceGroup": "myhci-rg"
         },
         "osDisk": {
           "id": null,
           "osType": "Windows"
         },
         "storagepathId": null
       },
       "vmId": "myhci-tvm-1234567890"
     },
     "resourceGroup": "myhci-rg",
     "systemData": {
       "createdAt": "2023-10-24T19:15:47.152610+00:00",
       "createdBy": "registration@contoso.com",
       "createdByType": "User",
       "lastModifiedAt": "2023-10-24T19:41:05.196469+00:00",
       "lastModifiedBy": "319f651f-7ddb-4fc6-9857-7aef9250bd05",
       "lastModifiedByType": "Application"
     },
     "tags": null,
     "type": "microsoft.azurestackhci/virtualmachineinstances"
   }
   

3. 创建 VM 后，验证 VM 的安全类型是否为 受信任的启动。

4. 运行以下 cmdlet 以查找 VM 的所有者节点：

   Get-ClusterGroup $vmName
   

5. 在 VM 的所有者节点上运行以下 cmdlet：

   (Get-VM $vmName).GuestStateIsolationType
   

6. 确保返回 TrustedLaunch 的值。

示例

此示例显示了运行启用了 BitLocker 加密的 Windows 11 来宾的受信任启动 Arc VM。 下面是练习方案的步骤：

1. 创建运行受支持的 Windows 11 来宾操作系统的受信任启动 Arc VM。

2. 为 Win 11 来宾上的 OS 卷启用 BitLocker 加密。

   登录到 Windows 11 来宾并启用 BitLocker 加密（针对 OS 卷）：在任务栏上的搜索框中，键入 “管理 BitLocker”，然后从结果列表中选择它。 选择 “打开 BitLocker” ，然后按照说明加密 OS 卷（C：）。 BitLocker 将使用 vTPM 作为 OS 卷的密钥保护程序。

3. 将 VM 迁移到群集中的另一个节点。 运行以下 PowerShell 命令：

   Move-ClusterVirtualMachineRole -Name $vmName -Node <destination node name> -MigrationType Shutdown
   

4. 确认 VM 的所有者节点是指定的目标节点：

   Get-ClusterGroup $vmName
   

5. VM 迁移完成后，验证 VM 是否可用且已启用 BitLocker。

6. 验证是否可以登录到 VM 中的 Windows 11 来宾，以及 OS 卷的 BitLocker 加密是否仍已启用。 如果可以执行此操作，这将确认在 VM 迁移期间保留 vTPM 状态。

   如果在 VM 迁移期间未保留 vTPM 状态，VM 启动将导致在来宾启动期间恢复 BitLocker。 也就是说，尝试登录到 Windows 11 来宾时，系统会提示输入 BitLocker 恢复密码。 这是因为目标节点上迁移的 VM 的启动度量值（存储在 vTPM 中）不同于原始 VM 的启动度量值。

7. 强制 VM 故障转移到群集中的另一个节点。

   1. 使用以下命令确认 VM 的所有者节点：

      Get-ClusterGroup $vmName
      

   2. 使用故障转移群集管理器停止所有者节点上的群集服务，如下所示：选择故障转移群集管理器中显示的所有者节点。  在“操作”右侧窗格中，选择“更多操作”，然后选择“停止群集服务”。

   3. 停止所有者节点上的群集服务将导致 VM 自动迁移到群集中的另一个可用节点。 之后重启群集服务。

8. 故障转移完成后，验证 VM 是否可用，并在故障转移后启用 BitLocker。

9. 确认 VM 的所有者节点是指定的目标节点：

   Get-ClusterGroup $vmName
   

后续步骤

• 管理受信任的启动 Arc VM 来宾状态保护密钥。