共用方式為


在 Azure 本機版本 23H2 上部署 Azure Arc VM 的信任啟動

適用於:Azure 本機版本 23H2

本文說明如何在 Azure 本機版本 23H2 上部署 Azure Arc 虛擬機 (VM) 的信任啟動。

必要條件

請確定您可以存取已部署並向 Azure 註冊的 Azure 本機版本 23H2 系統。 如需詳細資訊,請參閱使用 Azure 入口網站 進行部署。

建立受信任的啟動Arc VM

您可以使用 Azure 入口網站 或使用 Azure 命令列介面 (CLI) 建立受信任的啟動 VM。 使用下列索引標籤來選取方法。

若要在 Azure 本機上建立受信任的啟動 Arc VM,請遵循使用 Azure 入口網站 在 Azure 本機上建立 Arc 虛擬機中的步驟,並進行下列變更:

  1. 建立 VM 時,請選取 [信任啟動虛擬機 ] 以取得安全性類型。

    顯示 [信任啟動類型] 選取項目的螢幕快照。

  2. 從支援的映像清單中選取 VM 客體 OS 映射:

    顯示支援的來賓影像選取項目的螢幕快照。

  3. 建立 VM 之後,請移至 [VM 屬性] 頁面,並確認顯示的安全性類型為 [信任啟動]。

    顯示屬性頁面的螢幕快照。

範例

此範例顯示執行 Windows 11 客體且已啟用 BitLocker 加密的受信任啟動 Arc VM。 以下是練習案例的步驟:

  1. 建立執行支援的 Windows 11 客體作業系統的受信任啟動 Arc VM。

  2. 針對 Win 11 客體上的 OS 磁碟區啟用 BitLocker 加密。

    登入 Windows 11 客體並啟用 BitLocker 加密(適用於 OS 磁碟區):在工作欄的搜尋方塊中,輸入 [管理 BitLocker],然後從結果清單中選取它。 選取 [開啟 BitLocker] ,然後遵循指示來加密 OS 磁碟區 (C:)。 BitLocker 會使用 vTPM 作為 OS 磁碟區的密鑰保護裝置。

  3. 將 VM 遷移至叢集中的另一個節點。 執行下列 PowerShell 命令:

    Move-ClusterVirtualMachineRole -Name $vmName -Node <destination node name> -MigrationType Shutdown
    
  4. 確認 VM 的擁有者節點是指定的目的地節點:

    Get-ClusterGroup $vmName
    
  5. VM 移轉完成之後,請確認 VM 是否可用且已啟用 BitLocker。

  6. 確認您是否可以在 VM 中登入 Windows 11 客體,以及 OS 磁碟區的 BitLocker 加密是否仍然啟用。 如果可以這麼做,這會確認在 VM 移轉期間保留 vTPM 狀態。

    如果在 VM 移轉期間未保留 vTPM 狀態,VM 啟動會導致客體開機期間進行 BitLocker 復原。 也就是說,當您嘗試登入 Windows 11 客體時,系統會提示您輸入 BitLocker 修復密碼。 這是因為目的地節點上已移轉 VM 的開機量測(儲存在 vTPM 中),與原始 VM 不同。

  7. 強制 VM 故障轉移至叢集中的另一個節點。

    1. 使用此指令確認 VM 的擁有者節點:

      Get-ClusterGroup $vmName
      
    2. 使用故障轉移叢集管理員停止擁有者節點上的叢集服務,如下所示:選取故障轉移叢集管理員中顯示的擁有者節點。  在 [ 動作] 右窗格中,選取 [更多動作 ],然後選取 [ 停止叢集服務]。

    3. 停止擁有者節點上的叢集服務會導致 VM 自動移轉至叢集中的另一個可用節點。 之後重新啟動叢集服務。

  8. 故障轉移完成後,請確認 VM 是否可用,並在故障轉移之後啟用 BitLocker。

  9. 確認 VM 的擁有者節點是指定的目的地節點:

    Get-ClusterGroup $vmName
    

下一步