Nasazení důvěryhodného spuštění pro virtuální počítače Azure Arc ve službě Azure Stack HCI verze 23H2

Platí pro: Azure Stack HCI verze 23H2

Tento článek popisuje, jak nasadit důvěryhodné spuštění pro virtuální počítače Azure Arc ve službě Azure Stack HCI verze 23H2.

Požadavky

Ujistěte se, že máte přístup ke clusteru Azure Stack HCI verze 23H2, který je nasazený a zaregistrovaný v Azure. Další informace najdete v tématu nasazení pomocí Azure Portal.

Vytvoření důvěryhodného spouštěcího virtuálního počítače Arc

Virtuální počítač s důvěryhodným spuštěním můžete vytvořit pomocí Azure Portal nebo rozhraní příkazového řádku Azure Command-Line Interface (CLI). Pomocí karet níže vyberte metodu.

Azure Portal

Pokud chcete vytvořit důvěryhodný spouštěcí virtuální počítač Arc ve službě Azure Stack HCI, postupujte podle kroků v tématu Vytvoření virtuálních počítačů Arc ve službě Azure Stack HCI pomocí Azure Portal s následujícími změnami:

1. Při vytváření virtuálního počítače jako typ zabezpečení vyberte Důvěryhodné spouštěcí virtuální počítače .

   

2. Ze seznamu podporovaných imagí vyberte image hostovaného operačního systému virtuálního počítače:

   

3. Po vytvoření virtuálního počítače přejděte na stránku vlastností virtuálního počítače a ověřte, že typ zabezpečení je důvěryhodné spuštění.

   

Azure CLI

Pokud chcete vytvořit důvěryhodný spouštěcí virtuální počítač Arc ve službě Azure Stack HCI, postupujte podle kroků v tématu Vytvoření virtuálních počítačů Arc ve službě Azure Stack HCI pomocí Azure CLI s následujícími změnami:

1. Vytvořte image virtuálního počítače pomocí podporované image hostovaného operačního systému virtuálního počítače podle důvěryhodného spuštění z Azure Marketplace. Další informace najdete v tématu Vytvoření image virtuálního počítače Azure Stack HCI pomocí Azure Marketplace.

2. Vytvořte virtuální počítač pomocí rozhraní příkazového řádku následujícím způsobem:

   $vmName="<Name of the VM>" 
   $subscription="<Subscription ID associated with your cluster>" 
   $resourceGroup="<Resource group name for your cluster>" 
   $location="<Location for your Azure Stack HCI cluster>" 
   $customLocationID=(az customlocation show --resource-group $resource_group --name "<custom location name for HCI cluster>" --query id -o tsv) 
   $guestName="<Name of the guest>" 
   $userName="<Username for VM>" 
   $password="<Password for VM>" 
   $galleryImageName="<Name of VM guest image>" 
   $vNic="<Name of virtual network interface>" 
   
   az stack-hci-vm create --name $vmName --subscription $subscription --resource-group $resourceGroup --custom-location=$customLocationID --location $location --size="Default" --computer-name $guestName --admin-username $userName --admin-password $password --image $galleryImageName --nics $vNic --enable-secure-boot true --enable-vtpm true --security-type "TrustedLaunch"
   

   Ukázkový výstup:

   {
     "extendedLocation": {
       "name": "/subscriptions/myhci-sub/resourceGroups/myhci-rg/Microsoft.ExtendedLocation/customLocations/myhci-cl",
       "type": "CustomLocation"
     },
     "id": "/subscriptions/myhci-sub/resourceGroups/myhci-rg/providers/Microsoft.HybridCompute/machines/tvm1/providers/Microsoft.AzureStackHCI/virtualMachineInstances/default",
     "name": "default",
     "properties": {
       "hardwareProfile": {
         "dynamicMemoryConfig": {
           "maximumMemoryMb": null,
           "minimumMemoryMb": null,
           "targetMemoryBuffer": null
         },
         "memoryMb": 4096,
         "processors": 4,
         "vmSize": "Custom"
       },
       "instanceView": {
         "vmAgent": {
           "statuses": []
         }
       },
       "networkProfile": {
         "networkInterfaces": [
           {
             "id": "ram-nic"
           }
         ]
       },
       "osProfile": {
         "adminPassword": null,
         "adminUsername": "admin",
         "computerName": "myhci-tvm",
         "linuxConfiguration": {
           "disablePasswordAuthentication": null,
           "provisionVmAgent": false,
           "provisionVmConfigAgent": false,
           "ssh": {
             "publicKeys": null
           }
         },
         "windowsConfiguration": {
           "enableAutomaticUpdates": null,
           "provisionVmAgent": false,
           "provisionVmConfigAgent": false,
           "ssh": {
             "publicKeys": null
           },
           "timeZone": null
         }
       },
       "provisioningState": "Succeeded",
       "securityProfile": {
         "enableTpm": true,
         "securityType": "TrustedLaunch",
         "uefiSettings": {
           "secureBootEnabled": true
         }
       },
       "status": {
         "powerState": "Running"
       },
       "storageProfile": {
         "dataDisks": [],
         "imageReference": {
           "id": "/subscriptions/myhci-sub/resourceGroups/myhci-rg/providers/Microsoft.AzureStackHCI/marketplacegalleryimages/Win11EntMulti21H2",
           "resourceGroup": "myhci-rg"
         },
         "osDisk": {
           "id": null,
           "osType": "Windows"
         },
         "storagepathId": null
       },
       "vmId": "myhci-tvm-1234567890"
     },
     "resourceGroup": "myhci-rg",
     "systemData": {
       "createdAt": "2023-10-24T19:15:47.152610+00:00",
       "createdBy": "registration@contoso.com",
       "createdByType": "User",
       "lastModifiedAt": "2023-10-24T19:41:05.196469+00:00",
       "lastModifiedBy": "319f651f-7ddb-4fc6-9857-7aef9250bd05",
       "lastModifiedByType": "Application"
     },
     "tags": null,
     "type": "microsoft.azurestackhci/virtualmachineinstances"
   }
   

3. Po vytvoření virtuálního počítače ověřte typ zabezpečení virtuálního počítače jako důvěryhodné spuštění.

4. Spuštěním následující rutiny vyhledejte uzel vlastníka virtuálního počítače:

   Get-ClusterGroup $vmName
   

5. Na uzlu vlastníka virtuálního počítače spusťte následující rutinu:

   (Get-VM $vmName).GuestStateIsolationType
   

6. Ujistěte se, že je vrácena hodnota TrustedLaunch .

Příklad

Tento příklad ukazuje důvěryhodný spouštěcí virtuální počítač Arc se spuštěným Windows 11 hostem s povoleným šifrováním nástrojem BitLocker. Tady jsou kroky k nácviku scénáře:

1. Vytvořte důvěryhodný spouštěcí virtuální počítač Arc s podporovaným operačním systémem Windows 11 hosta.

2. U hosta Win 11 povolte šifrování bitlockeru pro svazek operačního systému.

   Přihlaste se k hostu Windows 11 a povolte šifrování nástrojem BitLocker (pro svazek operačního systému): Do vyhledávacího pole na hlavním panelu zadejte Spravovat BitLocker a pak ho vyberte ze seznamu výsledků. Vyberte Zapnout Nástroj BitLocker a pak postupujte podle pokynů k šifrování svazku operačního systému (C:). BitLocker použije vTPM jako ochranu klíčů pro svazek operačního systému.

3. Migrujte virtuální počítač do jiného uzlu v clusteru. Spusťte následující příkaz PowerShellu:

   Move-ClusterVirtualMachineRole -Name $vmName -Node <destination node name> -MigrationType Shutdown
   

4. Ověřte, že uzlem vlastníka virtuálního počítače je zadaný cílový uzel:

   Get-ClusterGroup $vmName
   

5. Po dokončení migrace virtuálního počítače ověřte, jestli je virtuální počítač dostupný a jestli je povolený nástroj BitLocker.

6. Ověřte, jestli se můžete přihlásit k hostu Windows 11 na virtuálním počítači a jestli pro svazek operačního systému zůstává povolené šifrování nástrojem BitLocker. Pokud to můžete udělat, potvrdí se tím, že se během migrace virtuálního počítače zachoval stav virtuálního počítače.

   Pokud se během migrace virtuálního počítače nezachoval stav virtuálního počítače, spuštění virtuálního počítače by vedlo k obnovení nástroje BitLocker během spouštění hosta. To znamená, že byste byli při pokusu o přihlášení k hostu Windows 11 vyzváni k zadání hesla pro obnovení nástroje BitLocker. Důvodem bylo to, že se měření spuštění (uložené ve virtuálním počítači vTPM) migrovaného virtuálního počítače na cílovém uzlu lišila od původního virtuálního počítače.

7. Vynuťte převzetí služeb při selhání virtuálního počítače na jiný uzel v clusteru.

   1. Pomocí následujícího příkazu potvrďte uzel vlastníka virtuálního počítače:

      Get-ClusterGroup $vmName
      

   2. Pomocí Správce clusteru s podporou převzetí služeb při selhání zastavte službu clusteru na uzlu vlastníka následujícím způsobem: Vyberte uzel vlastníka zobrazený ve Správci clusteru s podporou převzetí služeb při selhání.  V pravém podokně Akce vyberte Další akce a pak vyberte Zastavit clusterovou službu.

   3. Zastavení služby clusteru na uzlu vlastníka způsobí automatickou migraci virtuálního počítače do jiného dostupného uzlu v clusteru. Potom restartujte clusterovou službu.

8. Po dokončení převzetí služeb při selhání ověřte, jestli je virtuální počítač dostupný a jestli je po převzetí služeb při selhání povolený nástroj BitLocker.

9. Ověřte, že uzlem vlastníka virtuálního počítače je zadaný cílový uzel:

   Get-ClusterGroup $vmName
   

Další kroky

• Správa klíče ochrany stavu hosta virtuálního počítače Arc důvěryhodného spuštění