Ověření Azure pro virtuální počítače v místním prostředí Azure

Platí pro: Hyperkonvergovaná nasazení Azure Local 2311.2 a novější

Microsoft Azure nabízí celou řadu diferencovaných úloh a možností, které jsou navržené tak, aby běžely jenom v Azure. Azure Local rozšiřuje řadu stejných výhod, které získáte z Azure, a zároveň běží na stejných známých a vysoce výkonných místních nebo hraničních prostředích.

Ověření Azure pro virtuální počítače umožňuje podporovaným úlohám s výhradním využitím Azure pracovat mimo cloud. Tato funkce modelovaná po službě ověřování IMDS v Azure je integrovaná služba ověřování platformy, která je ve výchozím nastavení povolená v Azure Local. Pomáhá poskytovat záruky pro tyto virtuální počítače, aby fungovaly v jiných prostředích Azure.

Další informace o předchozí verzi této funkce verze 22H2 nebo starší najdete v tématu Výhody Azure v místním prostředí Azure.

Výhody dostupné v Azure Local

Ověření pro virtuální počítače v Azure vám umožňuje využívat tyto výhody, které jsou dostupné pouze na platformě Azure Local.

Pracovní zátěž	Co to je	Jak získat výhody
Rozšířená aktualizace zabezpečení (ESU)	Získejte aktualizace zabezpečení bez dalších poplatků pro SQL a virtuální počítače s Windows Serverem, které jsou na Azure Local na konci podpory. Další informace najdete v tématu Bezplatné rozšířené aktualizace zabezpečení (ESU) v místním prostředí Azure.	Musíte povolit podporu starších operačních systémů pro virtuální počítače se systémem Windows Server 2012 nebo starší, které mají nejnovější aktualizace zásobníku údržby.
Azure Virtual Desktop (AVD)	Hostitelé relací AVD můžou běžet pouze v infrastruktuře Azure. Aktivujte virtuální počítače s více relacemi Windows v místní verzi Azure pomocí ověřování virtuálních počítačů v Azure. Licenční požadavky pro AVD stále platí. Podívejte se na ceny služby Azure Virtual Desktop.	Automaticky aktivováno pro virtuální počítače používající Windows 11 verzi multi-session s aktualizací 4B vydanou 9. dubna 2024 (22H2: KB5036893, 21H2: KB5036894) nebo novější. Je nutné povolit podporu starší verze operačního systému pro virtuální počítače s více relacemi Windows 10 s aktualizací 4B vydané 9. dubna 2024 KB5036892 nebo novější.
Windows Server Datacenter: Azure Edition	Virtuální počítače Azure Edition můžou běžet jenom v infrastruktuře Azure, včetně místního Azure. Aktivujte virtuální počítače Se systémem Windows Server Azure Edition a využijte nejnovější inovace Windows Serveru a další exkluzivní funkce. Licenční požadavky stále platí. Podívejte se, jak licencovat virtuální počítače s Windows Serverem v Místním prostředí Azure.	Aktivované automaticky pro virtuální počítače se systémem Windows Server Azure Edition 2022 s aktualizací 4B vydané 9. dubna 2024 (KB5036909) nebo novější.
Správce aktualizace Azure	Získejte Azure Update Manager bez poplatků. Tato služba poskytuje řešení SaaS pro správu a řízení aktualizací softwaru pro virtuální počítače v Azure Local.	K dispozici automaticky pro místní virtuální počítače Azure vytvořené prostřednictvím mostu prostředků Azure Arc v místním prostředí Azure. Pomocí programu Software Assurance můžete svůj počítač otestovat pomocí výhod a licencí Windows Serveru Azure a získat AUM zdarma. Další informace najdete v tématu Azure Update Manager – nejčastější dotazy.
Konfigurace počítače Azure	Konfigurace počítače Azure (dříve Konfigurace hosta Azure Policy) je poskytována službou Azure Instance Metadata Service (IMDS). Je k dispozici bez poplatků a umožňuje auditování a konfiguraci nastavení operačního systému jako kód pro počítače a virtuální počítače.	Vyžaduje povolení podpory starší verze operačního systému. Potřebuje agenta Arc verze 1.39 nebo novější. Podívejte se na nejnovější verzi agenta.

Poznámka:

Pokud chcete zajistit nepřetržitou funkčnost, aktualizujte své virtuální počítače v Azure Local na nejnovější kumulativní aktualizaci do 17. června 2024. Tato aktualizace je nezbytná pro virtuální počítače, aby dál používaly výhody Azure. Další informace najdete v blogovém příspěvku Azure Local.

Správa ověřování virtuálních počítačů Azure

Ověřování virtuálních počítačů Azure je ve výchozím nastavení automaticky povolené v místním prostředí Azure. Následující pokyny popisují požadavky pro použití této funkce a kroky pro správu výhod (volitelné).

Poznámka:

Pokud chcete povolit rozšířené aktualizace zabezpečení (ESU), musíte provést další nastavení a zapnout podporu starší verze operačního systému.

Požadavky na hostitele

• Ujistěte se, že máte přístup k místnímu Azure. Všechny stroje musí být online, registrované a nasazené. Další informace najdete v tématu Registrace počítačů ve službě Arc a v tématu Nasazení prostřednictvím webu Azure Portal.
• Nainstalujte Hyper-V a nástroje RSAT-Hyper-V-Tools.
• (Volitelné) Pokud používáte Windows Admin Center, musíte nainstalovat rozšíření Správce clusteru (verze 2.319.0) nebo novější.

Požadavky na virtuální počítač

• Nezapomeňte aktualizovat virtuální počítače. Podívejte se na požadavky na verzi pro úlohy.

• Zapněte rozhraní služby hosta Hyper-V. Přečtěte si pokyny pro Windows Admin Center nebo PowerShell.

Ověření virtuálního počítače Azure můžete spravovat pomocí Centra pro správu Windows nebo PowerShellu nebo zobrazit jeho stav pomocí Azure CLI nebo webu Azure Portal. Jednotlivé možnosti jsou popsané v následujících částech.

Azure Portal

1. Na stránce místního prostředku Azure přejděte na kartu Konfigurace .

2. V rámci funkce ověření Azure pro virtuální počítače zobrazte stav ověření hostitele.

   

Azure CLI

Azure CLI je k dispozici k instalaci v prostředích s Windows, macOS a Linuxem. Dá se spustit také v Azure Cloud Shellu. Tato část popisuje, jak používat Bash v Azure Cloud Shellu. Další informace najdete v tématu Rychlý start pro Azure Cloud Shell.

Spusťte Azure Cloud Shell a pomocí Azure CLI zkontrolujte ověření virtuálního počítače Azure pomocí následujících kroků:

1. Nastavte parametry podle vašeho předplatného, skupiny prostředků a jména clusteru.

   subscription="00000000-0000-0000-0000-000000000000" # Replace with your subscription ID
   resourceGroup="local-rg" # Replace with your resource group name
   clusterName="LocalCluster" # Replace with your cluster name
   
   az account set --subscription "${subscription}"
   

2. Pokud chcete zobrazit stav ověření virtuálního počítače Azure v clusteru, spusťte následující příkaz:

   az stack-hci cluster list \
   --resource-group "${resourceGroup}" \
   --query "[?name=='${clusterName}'].{Name:name, AzureBenefitsHostAttestation:reportedProperties.imdsAttestation}" \
   -o table
   

Centrum pro správu Windows

Kontrola stavu ověření virtuálního počítače Azure

1. V Centru pro správu Windows vyberte v horní rozevírací nabídce Správce clusteru , přejděte do systému, který chcete aktivovat, a pak v části Nastavení vyberte ověření Azure pro virtuální počítače.

2. Postup kontroly stavu ověřovacího virtuálního počítače Azure:

   • Stav na úrovni clusteru: Stav hostitele se zobrazí jako Zapnuto.

   • Stav na úrovni serveru: Na kartě Server na řídicím panelu zkontrolujte, jestli se stav každého počítače zobrazuje jako Aktivní v tabulce.

     

Řešení potíží se stroji

• Pokud se na kartě Server jeden nebo více počítačů zobrazí jako Vypršela platnost:
  • Pokud se počítač nesynchronizuje s Azure déle než 30 dní, zobrazí se jeho stav jako Neaktivní nebo Vypršela platnost. Výběrem možnosti Synchronizovat s Azure naplánujte ruční synchronizaci.

Správa výhod aktivovaných na virtuálních počítačích

1. Pokud chcete zjistit, jaké výhody jsou na virtuálních počítačích aktivované, přejděte na kartu Virtuální počítače .

2. Na řídicím panelu se zobrazuje počet virtuálních počítačů s:

   • Aktivní výhody: Tyto virtuální počítače mají aktivované exkluzivní funkce Azure prostřednictvím ověřování virtuálních počítačů Azure.
   • Neaktivní výhody: Tyto virtuální počítače mají exkluzivní funkce Azure, které před aktivací potřebují další akci.
   • Neznámé: Nemůžeme určit oprávněné výhody pro tyto virtuální počítače, protože Hyper-V výměna dat je vypnutá. Podívejte se na následující část pro řešení potíží.
   • Žádné použitelné výhody: Tyto virtuální počítače nemají exkluzivní funkce Azure, a proto nevyžadují ověření virtuálního počítače Azure.

3. V tabulce se zobrazí oprávněná výhoda , která se vztahuje na každý virtuální počítač. Podívejte se na úplný seznam výhod dostupných v Azure Local.

   

Řešení potíží s virtuálními počítači

• Na kartě VMs, pokud se jedna nebo více VMs zobrazí jako Neaktivní výhody:

  • Pokud je navržená akce instalace aktualizací, možná nemáte pro tuto výhodu požadovanou minimální verzi operačního systému. Aktualizujte virtuální počítač tak, aby splňoval požadavky na verzi pro úlohy.
  • Pokud je navržená akce zapnout rozhraní služby hosta, vyberte ji a otevřete podokno kontextu, abyste povolili rozhraní služby hostaHyper-V. Tato funkce se vyžaduje, aby virtuální počítače komunikují s hostitelem přes VMbus.
  • Pokud se jedná o navrženou akci týkající se podpory starší verze operačního systému, přečtěte si téma řešení potíží se starší podporou operačního systému.

• Pokud se jeden nebo více virtuálních počítačů na kartě VMs zobrazí jako Neznámý:

  • Pokud chcete určit výhody dostupné pro tyto virtuální počítače, můžete to udělat ručně tak, že zkontrolujete úplný seznam výhod dostupných v místním prostředí Azure nebo Centrum pro správu Windows tyto informace zobrazí. Pokud chcete získat přístup k informacím prostřednictvím Centra pro správu Windows, povolte pro virtuální počítače Hyper-V výměnu dat (KVP) tak, že vyberete akci s popiskem Zapnout Hyper-V výměnu dat.

PowerShell

Kontrola stavu ověření virtuálního počítače Azure

• Po úspěšném nastavení ověření virtuálního počítače Azure můžete zobrazit stav hostitele. Zkontrolujte systémovou vlastnost IMDS Attestation spuštěním následujícího příkazu:

  Get-AzureStackHCI
  

• Pokud chcete zobrazit stav ověření virtuálního počítače Azure pro počítače, spusťte následující příkaz:

  Get-AzureStackHCIAttestation [[-ComputerName] <string>]
  

Řešení potíží se stroji

• Pokud ověření virtuálního počítače Azure pro jeden nebo více počítačů ještě není synchronizováno a obnoveno s Azure, může se zobrazit jako vypršela platnost nebo neaktivní. Naplánování ruční synchronizace:

  Sync-AzureStackHCI
  

Správa výhod aktivovaných na virtuálních počítačích

• Chcete-li zkontrolovat ověření přístupu k virtuálním počítačům Azure, spusťte následující příkaz:

  Get-AzStackHCIVMAttestation
  

  Poznámka:

  Virtuální počítač podporovaný pro v2 může komunikovat s počítačem pomocí nástroje VMBus. Naopak podporovaný virtuální počítač v1 je nakonfigurovaný se starší podporou operačního systému a má přístup k ověřování virtuálních počítačů Azure přes REST. Pokud virtuální počítač podporuje v1 i v2, použije se primárně metoda v2 (tj. VMBus), ale pokud dojde k problému, může se vrátit k v1.

Řešení potíží s virtuálními počítači

• Pokud chcete nastavit přístup k ověřování virtuálních počítačů Azure pro virtuální počítače, můžete povolit rozhraní služby hostaHyper-V.

  Pokud chcete zkontrolovat, jestli je povolené rozhraní hostované služby Hyper-V, spusťte:

  Get-VMIntegrationService [[-VMName] <VMName>] -Name "Guest Service Interface"
  

• Chcete-li zapnout rozhraní služby hosta Hyper-V:

  Enable-VMIntegrationService [[-VMName] <VMName>] -Name "Guest Service Interface"
  

• Pokud chcete zkontrolovat, že virtuální počítače mají přístup k ověření virtuálního počítače Azure na hostiteli, spusťte na hostiteli následující příkaz:

  Invoke-RestMethod -Headers @{"Metadata"="true"} -Method GET -Uri "http://127.0.0.1:42542/metadata/attested/document?api-version=2018-10-01" –usedefaultcredentials
  

Podpora starší verze operačního systému

U starších virtuálních počítačů, které nemají potřebné funkce Hyper-V (rozhraní služby hosta) pro přímou komunikaci s hostitelem, musíte nakonfigurovat tradiční síťové komponenty pro ověření virtuálního počítače Azure. Pokud máte tyto úlohy, jako jsou rozšířené aktualizace zabezpečení (ESU), nastavte podporu starších operačních systémů podle pokynů v této části.

Azure Portal

Starší verzi podpory operačního systému teď nemůžete zobrazit na webu Azure Portal.

Azure CLI

Azure CLI je k dispozici k instalaci v prostředích s Windows, macOS a Linuxem. Dá se spustit také v Azure Cloud Shellu. Tato část popisuje, jak používat Bash v Azure Cloud Shellu. Další informace najdete v rychlém startu pro Azure Cloud Shell.

Spusťte Azure Cloud Shell a pomocí Azure CLI zkontrolujte ověření virtuálního počítače Azure pomocí následujícího postupu:

1. Nastavte parametry z vašeho předplatného, skupiny zdrojů a názvu clusteru:

   subscription="00000000-0000-0000-0000-000000000000" # Replace with your subscription ID
   resourceGroup="local-rg" # Replace with your resource group name
   clusterName="LocalCluster" # Replace with your cluster name
   
   az account set --subscription "${subscription}"
   

2. Pokud chcete zobrazit stav podpory starší verze operačního systému v clusteru, spusťte následující příkaz:

   az stack-hci cluster list \
   --resource-group "${resourceGroup}" \
   --query "[?name=='${clusterName}'].{Name:name, AzureBenefitsHostAttestation:reportedProperties.supportedCapabilities}" \
   -o table
   

Centrum pro správu Windows

1. Zapnutí podpory starší verze operačního systému na hostiteli

1. V Centru pro správu Windows vyberte v horní rozevírací nabídce Správce clusteru , přejděte do systému, který chcete aktivovat, a pak v části Nastavení vyberte ověření Azure pro virtuální počítače.

2. V části Podpora starších OS vyberte Změnit stav. V kontextovém podokně vyberte Zapnuto . Toto nastavení také umožňuje síťový přístup pro všechny existující virtuální počítače. U všech nových virtuálních počítačů, které vytvoříte později, musíte ručně zapnout podporu starší verze operačního systému.

3. Potvrďte akci výběrem možnosti Změnit stav. Může trvat několik minut, než se změny projeví v počítačích.

4. Pokud je podpora starší verze operačního systému úspěšně zapnutá:

   • Zkontrolujte, jestli se podpora starší verze operačního systému zobrazuje jako Zapnuto.

   • Na kartě Server na řídicím panelu zkontrolujte, jestli se starší verze podpory operačního systému pro každý počítač zobrazuje jako Zapnuto v tabulce.

     

2. Povolení přístupu pro nové virtuální počítače

Pro všechny nové virtuální počítače, které vytvoříte po prvním nastavení, musíte povolit starší síť operačního systému. Pokud chcete spravovat přístup k virtuálním počítačům, přejděte na kartu virtuálních počítačů . Jakýkoli virtuální počítač, který vyžaduje podporu starší verze operačního systému, se zobrazí jako Neaktivní. Vyberte akci pro nastavení starších sítí operačního systému pro vybraný virtuální počítač nebo pro všechny existující virtuální počítače v systému.

Poznámka:

Pokud chcete úspěšně povolit podporu starších operačních systémů na virtuálních počítačích generace 1, musí být virtuální počítač nejprve vypnutý, aby bylo možné síťové rozhraní přidat.

PowerShell

1. Zapnutí podpory starší verze operačního systému na hostiteli

• V místním prostředí Azure spusťte následující příkaz z okna PowerShellu se zvýšenými oprávněními:

  Enable-AzStackHCIAttestation
  

• Nebo pokud chcete přidat všechny existující virtuální počítače při instalaci, můžete spustit následující příkaz:

  Enable-AzStackHCIAttestation -AddVM
  

• Zkontrolujte, jestli je zapnutá podpora starší verze operačního systému:

  Get-AzureStackHCIAttestation [[-ComputerName] <string>]
  

Řešení potíží se stroji

• Pokud chcete v systému vypnout a resetovat podporu starší verze operačního systému, spusťte následující příkaz:

  Disable-AzStackHCIAttestation -RemoveVM
  

2. Povolení přístupu pro virtuální počítače

• Pokud chcete nakonfigurovat síťový přístup pro vybrané virtuální počítače, spusťte na místním prostředí Azure následující příkaz:

  Add-AzStackHCIVMAttestation [-VMName]
  

• Pokud chcete přidat všechny existující virtuální počítače, spusťte následující příkaz:

  Add-AzStackHCIVMAttestation -AddAll
  

• Získejte seznam virtuálních počítačů, které mají přístup ke starší podpoře operačního systému:

  Get-AzStackHCIVMAttestation
  

  Poznámka:

  Pokud chcete úspěšně povolit podporu starších operačních systémů na virtuálních počítačích generace 1, musí být virtuální počítač nejprve vypnutý, aby bylo možné síťové rozhraní přidat.

Řešení potíží s virtuálními počítači

• Odebrání přístupu ke starší verzi podpory operačního systému pro vybrané virtuální počítače:

  Remove-AzStackHCIVMAttestation -VMName <string>
  

  Nebo odebrání přístupu pro všechny existující virtuální počítače:

  Remove-AzStackHCIVMAttestation -RemoveAll
  

• Pokud chcete zkontrolovat, jestli mají virtuální počítače přístup ke starší podpoře operačního systému na hostiteli, spusťte na virtuálním počítači následující příkaz:

  Invoke-RestMethod -Headers @{"Metadata"="true"} -Method GET -Uri http://169.254.169.253:80/metadata/attested/document?api-version=2018-10-01
  

časté otázky

Tato část obsahuje odpovědi na některé nejčastější dotazy týkající se používání výhod Azure.

Jaké exkluzivní úlohy Azure můžu povolit s ověřováním virtuálních počítačů Azure?

Podívejte se sem na úplný seznam.

Stojí za to něco, aby bylo možné povolit ověřování virtuálních počítačů Azure?

Ne. Zapnutím ověřování virtuálních počítačů Azure se neúčtují žádné další poplatky.

Můžu použít ověřování virtuálních počítačů Azure v jiných prostředích než Azure Local?

Ne. Ověření virtuálního počítače Azure je funkce integrovaná do místního Prostředí Azure a dá se použít jenom v místním Prostředí Azure.

Pokud jsem právě upgradoval z verze 22H2 a dříve jsem zapnul(a) funkci Výhod Azure, musím udělat něco nového?

Pokud jste upgradovali systém, který dříve měl výhody Azure v místním prostředí Azure nastavené pro vaše úlohy, nemusíte při upgradu na Azure Local nic dělat. Po upgradu zůstane tato funkce povolená a je zapnutá i podpora starší verze operačního systému. Pokud ale chcete použít vylepšený způsob komunikace mezi virtuálními počítači přes sběrnici virtuálních počítačů, ujistěte se, že máte požadované požadavky na hostitele a požadavky na virtuální počítač.

Právě jsem nastavil ověřování virtuálních počítačů Azure v systému. Jak zajistit, aby ověřování virtuálních počítačů Azure zůstalo aktivní?

• Ve většině případů není nutná žádná akce uživatele. Azure Local při synchronizaci s Azure automaticky prodlouží ověření virtuálního počítače Azure.
• Pokud se ale systém po dobu delší než 30 dnů odpojí a ověření virtuálního počítače Azure se zobrazí jako prošlé, můžete ručně synchronizovat pomocí PowerShellu a Centra pro správu Windows. Další informace najdete v tématu Synchronizace místního prostředí Azure.

Co se stane, když nasadím nové virtuální počítače nebo odstraním virtuální počítače?

• Když nasadíte nové virtuální počítače, které vyžadují ověření virtuálního počítače Azure, automaticky se aktivují, pokud mají správné požadavky na virtuální počítač.

• U starších virtuálních počítačů, které používají podporu starší verze operačního systému, ale můžete ručně přidat nové virtuální počítače pro přístup k ověřování virtuálních počítačů Azure pomocí Centra pro správu Windows nebo PowerShellu pomocí předchozích pokynů.

• Virtuální počítače můžete i nadále odstraňovat a migrovat jako obvykle. Síťová karta AZSHCI_GUEST-IMDS_DO_NOT_MODIFY po migraci na virtuálním počítači stále existuje. Pokud chcete před migrací vyčistit síťovou kartu, můžete odebrat virtuální počítače z ověřování virtuálních počítačů Azure pomocí Centra pro správu Windows nebo PowerShellu pomocí předchozích pokynů pro podporu starších operačních systémů nebo můžete nejprve migrovat a ručně odstranit síťové karty.

Co se stane, když přidám nebo odeberu počítače?

• Když přidáte počítač, aktivuje se automaticky, pokud má správné požadavky na hostitele.
• Pokud používáte podporu starší verze operačního systému, možná budete muset tyto počítače povolit ručně. Spusťte Enable-AzStackHCIAttestation [[-ComputerName] <String>] v PowerShellu. Počítače můžete i nadále odstraňovat nebo je z systému odebírat obvyklým způsobem. Nástroj vSwitch AZSHCI_HOST-IMDS_DO_NOT_MODIFY stále existuje na počítači po odebrání ze systému. Pokud chcete počítač později přidat zpět do systému, můžete ho nechat, nebo ho můžete odebrat ručně.

Další kroky

• Rozšířené aktualizace zabezpečení (ESU) v Azure Local.
• Místní přehled Azure
• Místní nejčastější dotazy k Azure