Azure-Vorteile in Azure Stack HCI (22H2 und früher)

Gilt für: Azure Stack HCI, Versionen 22H2 und 21H2

Hinweis

Dieser Artikel gilt nur für Azure Stack HCI, Version 22H2 und früher. Eine Liste der Vorteile, die version 23H2 und höher zugeordnet sind, finden Sie unter Azure-Überprüfung für VMs.

Microsoft Azure bietet eine Reihe differenzierter Workloads und Funktionen, die nur für die Ausführung in Azure konzipiert sind. Azure Stack HCI erweitert viele Vorteile, die Sie von Azure erhalten, und wird in den vertrauten und leistungsstarken lokalen Umgebungen oder Edgeumgebungen ausgeführt.

Azure-Vorteile bieten unterstützten, für Azure exklusiven Workloads die Möglichkeit, außerhalb der Cloud zu arbeiten. Sie können Azure-Vorteile ohne zusätzliche Kosten in Azure Stack HCI aktivieren. Wenn Sie über Windows Server-Workloads verfügen, wird empfohlen, dieses Feature zu aktivieren.

Nehmen Sie sich einige Minuten Zeit, um sich das Einführungsvideo zu Azure-Vorteilen anzusehen:

Verfügbare Azure-Vorteile in Azure Stack HCI

Wenn Sie Azure-Vorteile aktivieren, können Sie diese für Azure exklusiven Workloads in Azure Stack HCI verwenden:

Workload	Unterstützte Versionen	Funktionsbeschreibung
Windows Server 2022 Datacenter: Azure Edition	2022 Edition oder höher	Ein reines Azure-Gastbetriebssystem, das alle neuesten Windows Server-Innovationen und weitere exklusive Features enthält. Weitere Informationen: Automanage für Windows Server.
Erweiterte Sicherheitsupdates (ESUs)	Sicherheitsupdates vom 12. Oktober 2021 oder höher	Ein Programm, mit dem Kunden weiterhin Sicherheitsupdates für End-of-Support-SQL Server- und Windows Server-VMs erhalten können, die jetzt kostenlos sind, wenn sie in Azure Stack HCI ausgeführt werden. Weitere Informationen finden Sie unter Kostenlose erweiterte Sicherheitsupdates (ESU) über Azure Stack HCI.
Azure Policy-Gastkonfiguration	Arc-Agent-Version 1.13 oder höher	Ein Feature, das Betriebssystemeinstellungen sowohl für Host- als auch für Gastcomputer als Code überwachen oder konfigurieren kann. Weitere Informationen: Grundlegendes zum Gastkonfigurationsfeature von Azure Policy.
Azure Virtual Desktop	Nur für Editionen mit mehreren Sitzungen. Windows 10 Enterprise mit mehreren Sitzungen oder höher.	Ein Dienst, mit dem Sie Azure Virtual Desktop-Sitzungshosts in Ihrer Azure Stack HCI-Infrastruktur bereitstellen können. Weitere Informationen finden Sie in der Übersicht über Azure Virtual Desktop für Azure Stack HCI.

Funktionsweise

Dieser Abschnitt ist optional und erläutert, wie Azure-Vorteile in HCI im Hintergrund funktionieren.

Azure-Vorteile baut auf einem integrierten Plattformnachweisdienst in Azure Stack HCI auf und sorgt dafür, dass VMs tatsächlich in Azure-Umgebungen ausgeführt werden.

Dieser Dienst ist nach demselben IMDS-Nachweisdienst modelliert, der in Azure ausgeführt wird, um einige der selben Workloads und Vorteile zu ermöglichen, die Kunden in Azure zur Verfügung stehen. Azure-Vorteile gibt eine nahezu identische Nutzlast zurück. Der Hauptunterschied besteht darin, dass der Dienst lokal ausgeführt wird und daher garantiert, dass VMs in Azure Stack HCI und nicht in Azure ausgeführt werden.

Durch Aktivieren von Azure-Vorteilen wird der Dienst gestartet, der in Ihrem Azure Stack HCI-Cluster ausgeführt wird:

1. Auf jedem Server ruft HciSvc ein Zertifikat von Azure ab und speichert es sicher in einer Enclave auf dem Server.

   Hinweis

   Zertifikate werden jedes Mal verlängert, wenn der Azure Stack HCI-Cluster mit Azure synchronisiert wird, und jede Verlängerung ist 30 Tage lang gültig. Solange Sie die üblichen Konnektivitätsanforderungen von 30 Tagen für Azure Stack HCI beibehalten, ist keine Benutzeraktion erforderlich.

2. HciSvc macht einen privaten und nicht routingfähigen REST-Endpunkt verfügbar, auf den nur VMs auf demselben Server zugreifen können. Um diesen Endpunkt zu aktivieren, wird ein interner vSwitch auf dem Azure Stack HCI-Host konfiguriert (mit dem Namen AZSHCI_HOST-IMDS_DO_NOT_MODIFY). Für VMs muss dann eine NIC konfiguriert und an denselben vSwitch angefügt sein (AZSHCI_GUEST-IMDS_DO_NOT_MODIFY).

   Hinweis

   Das Ändern oder Löschen dieses Switches und der NIC verhindert, dass Azure-Vorteile ordnungsgemäß funktionieren. Wenn Fehler auftreten, deaktivieren Sie Azure-Vorteile im Windows Admin Center oder mithilfe der folgenden PowerShell-Anweisungen, und versuchen Sie es dann noch mal.

3. Consumerworkloads (z. B. Windows Server Azure Edition-Gäste) fordern einen Nachweis an. HciSvc signiert dann die Antwort mit einem Azure-Zertifikat.

   Hinweis

   Sie müssen den Zugriff für jeden virtuellen Computer, der Azure-Vorteile benötigt, manuell aktivieren.

Aktivieren von Azure-Vorteilen

Bevor Sie beginnen, müssen folgende Voraussetzungen erfüllt sein:

• Ein Azure Stack HCI-Cluster:

  • Installation von Updates: Version 21H2 mit mindestens dem Sicherheitsupdate KB5008223 vom 14. Dezember 2021 oder später.
  • Registrieren von Azure Stack HCI: Alle Server müssen online und bei Azure registriert sein.
  • Installation von Hyper-V and RSAT-Hyper-V-Tools.

• Wenn Sie Windows Admin Center verwenden:

  • Windows Admin Center (Version 2103 oder höher) mit der Cluster-Manager-Erweiterung (Version 2.41.0 oder höher).

Sie können Azure-Vorteile auf Azure Stack HCI mit Windows Admin Center, PowerShell, Azure CLI oder Azure-Portal aktivieren. Beide Optionen werden in den nächsten Abschnitten beschrieben.

Hinweis

Um Azure-Vorteile auf VMs der Generation 1 erfolgreich zu aktivieren, muss der virtuelle Computer zuerst ausgeschaltet werden, damit die NIC hinzugefügt werden kann.

Verwalten von Azure-Vorteilen

Windows Admin Center

1. Wählen Sie im Windows Admin Center im oberen Dropdownmenü Cluster-Manager aus, navigieren Sie zu dem Cluster, den Sie aktivieren möchten, und wählen Sie dann unter Einstellungen die Option Azure-Vorteile aus.

2. Wählen Sie im Bereich Azure-Vorteile die Option Aktivieren aus. Standardmäßig ist das Kontrollkästchen zum Aktivieren für alle vorhandenen VMs aktiviert. Sie können es deaktivieren und VMs später manuell hinzufügen.

3. Wählen Sie erneut Aktivieren aus, um die Einrichtung zu bestätigen. Es kann einige Minuten dauern, bis die Änderungen von den Servern übernommen werden.

4. Wenn die Einrichtung von Azure-Vorteilen erfolgreich ist, wird die Seite aktualisiert, um das Dashboard der Azure-Vorteile anzuzeigen. Gehen Sie wie folgt vor, um Azure-Vorteile für den Host zu überprüfen:

   1. Überprüfen Sie, ob der Clusterstatus der Azure-Vorteile als Ein angezeigt wird.
   2. Überprüfen Sie auf der Registerkarte Cluster im Dashboard, ob Azure-Vorteile in der Tabelle für jeden Server als Aktiv angezeigt werden.

5. Um den Zugriff auf Azure-Vorteile für VMs zu überprüfen, überprüfen Sie den Status der VMs bei aktivierten Azure-Vorteilen. Es wird empfohlen, dass für alle vorhandenen virtuellen Computer Azure-Vorteile aktiviert sind. z. B. 3 von 3 VMs.

Azure PowerShell

1. Um Azure-Vorteile einzurichten, führen Sie den folgenden Befehl in einem PowerShell-Fenster mit erhöhten Rechten in Ihrem Azure Stack HCI-Cluster aus:

   Enable-AzStackHCIAttestation
   

   Oder wenn Sie alle vorhandenen VMs beim Setup hinzufügen möchten, können Sie den folgenden Befehl ausführen:

   Enable-AzStackHCIAttestation -AddVM
   

2. Wenn die Einrichtung von Azure-Vorteilen erfolgreich durchgeführt wurde, können Sie den Status der Azure-Vorteile anzeigen. Überprüfen Sie die Clustereigenschaft IMDS-Nachweis, indem Sie den folgenden Befehl ausführen:

   Get-AzureStackHCI
   

   Oder führen Sie alternativ den folgenden Befehl aus, um den Status der Azure-Vorteile für Server anzuzeigen:

   Get-AzureStackHCIAttestation [[-ComputerName] <string>]
   

3. Führen Sie den folgenden Befehl aus, um den Zugriff auf Azure-Vorteile für VMs zu überprüfen:

   Get-AzStackHCIVMAttestation
   

Azure portal

1. Navigieren Sie auf der Clusterressourcenseite von Azure Stack HCI zur Registerkarte Konfiguration.

2. Zeigen Sie unter dem Feature Azure-Vorteile aktivieren den Hostnachweisstatus an:

   

Azure-Befehlszeilenschnittstelle

Azure CLI ist für die Installation in Windows-, macOS- und Linux-Umgebungen verfügbar. Sie kann auch in Azure Cloud Shell ausgeführt werden. In diesem Dokument wird erläutert, wie Bash in Azure Cloud Shell verwendet wird. Weitere Informationen finden Sie in der Schnellstartanleitung für Azure Cloud Shell.

Starten Sie Azure Cloud Shell , und verwenden Sie Azure CLI zum Konfigurieren von Azure-Vorteilen mit den folgenden Schritten:

1. Einrichten von Parametern aus Ihrem Abonnement, Ihrer Ressourcengruppe und dem Clusternamen

   subscription="00000000-0000-0000-0000-000000000000" # Replace with your subscription ID
   resourceGroup="hcicluster-rg" # Replace with your resource group name
   clusterName="HCICluster" # Replace with your cluster name
   
   az account set --subscription "${subscription}"
   

2. Führen Sie den folgenden Befehl aus, um den Status von Azure-Vorteilen in einem Cluster anzuzeigen:

   az stack-hci cluster list \
   --resource-group "${resourceGroup}" \
   --query "[?name=='${clusterName}'].{Name:name, AzureBenefitsHostAttestation:reportedProperties.imdsAttestation}" \
   -o table
   

Verwalten des Zugriffs auf Azure-Vorteile für Ihre virtuellen Computer – Windows Admin Center

Wählen Sie zum Aktivieren der Azure-Vorteile für VMs die Registerkarte VMs, dort in der obersten Tabelle die VMs ohne Azure-Vorteile und dann Azure-Vorteile für VMs aktivieren aus.

Verwalten des Zugriffs auf Azure-Vorteile für Ihre virtuellen Computer – Azure PowerShell

• Führen Sie den folgenden Befehl auf Ihrem Azure Stack HCI-Cluster aus, um die Vorteile für ausgewählte VMs zu aktivieren:

  Add-AzStackHCIVMAttestation [-VMName]
  

  Oder führen Sie alternativ den folgenden Befehl aus, um alle vorhandenen virtuellen Computer hinzuzufügen:

  Add-AzStackHCIVMAttestation -AddAll
  

• Führen Sie optional den folgenden Befehl auf dem virtuellen Computer aus, um zu überprüfen, ob die VMs auf Azure-Vorteile auf dem Host zugreifen können:

  Invoke-RestMethod -Headers @{"Metadata"="true"} -Method GET -Uri "http://169.254.169.253:80/metadata/attested/document?api-version=2018-10-01"
  

Problembehandlung über Windows Admin Center

• So deaktivieren und zurücksetzen Sie Azure-Vorteile in Ihrem Cluster:
  • Wählen Sie auf der Registerkarte "Cluster " die Option "Azure-Vorteile deaktivieren" aus.
• So entfernen Sie den Zugriff auf Azure-Vorteile für VMs:
  • Wählen Sie auf der Registerkarte "VM " die vm(en) in der obersten Tabelle VMs ohne Azure-Vorteile aus, und aktivieren Sie dann Azure-Vorteile für VMs.
• Auf der Registerkarte "Cluster " werden mindestens ein Server als abgelaufen angezeigt:
  • Wenn Azure-Vorteile für einen oder mehrere Server seit mehr als 30 Tagen nicht mit Azure synchronisiert wurden, wird es als abgelaufen oder inaktiv angezeigt. Wählen Sie Mit Azure synchronisieren aus, um eine manuelle Synchronisierung zu planen.
• Auf der Registerkarte "VM" werden die Vorteile des Hostservers als "Unbekannt" oder "Inaktiv" angezeigt:
  • Sie können keine Azure-Vorteile für VMs auf diesen Hostservern hinzufügen oder entfernen. Wechseln Sie zur Registerkarte "Cluster ", um Azure-Vorteile für Hostserver mit Fehlern zu beheben, und versuchen Sie dann erneut, virtuelle Computer zu verwalten.

Problembehandlung über PowerShell

• Führen Sie den folgenden Befehl aus, um Azure-Vorteile in Ihrem Cluster zu deaktivieren und zurückzusetzen:

  Disable-AzStackHCIAttestation -RemoveVM
  

• So entfernen Sie den Zugriff auf Azure-Vorteile für ausgewählte VMs

  Remove-AzStackHCIVMAttestation -VMName <string>
  

  Alternativ können Sie wie folgt vorgehen, um den Zugriff für alle vorhandenen VMs zu entfernen:

  Remove-AzStackHCIVMAttestation -RemoveAll
  

• Wenn Azure-Vorteile für einen oder mehrere Server noch nicht synchronisiert und mit Azure erneuert werden, wird es möglicherweise als abgelaufen oder inaktiv angezeigt. Planen einer manuellen Synchronisierung:

  Sync-AzureStackHCI
  

• Wenn ein Server neu hinzugefügt und noch nicht mit Azure-Vorteilen eingerichtet wurde, wird er möglicherweise als inaktiv angezeigt. Führen Sie Setup erneut aus, um den neuen Server hinzuzufügen:

  Enable-AzStackHCIAttestation
  

Häufig gestellte Fragen

Diese häufig gestellten Fragen bieten Antworten auf einige Fragen zur Verwendung von Azure-Vorteilen.

Welche für Azure exklusiven Workloads kann ich mit Azure-Vorteilen aktivieren?

Die vollständige Liste finden Sie hier.

Kostet das Aktivieren von Azure-Vorteilen etwas?

Nein, für das Aktivieren von Azure-Vorteilen fallen keine Gebühren an.

Kann ich Azure-Vorteile in anderen Umgebungen als Azure Stack HCI verwenden?

Nein, Azure-Vorteile sind ein Feature, das in das Azure Stack HCI-Betriebssystem integriert ist und nur in Azure Stack HCI verwendet werden kann.

Ich habe Azure-Vorteile auf meinem Cluster eingerichtet. Wie stelle ich sicher, dass Azure-Vorteile aktiv bleiben?

• In den meisten Fällen ist keine Benutzeraktion erforderlich. Azure Stack HCI verlängert die Azure-Vorteile bei der Synchronisierung mit Azure automatisch.
• Wenn der Cluster jedoch länger als 30 Tage getrennt wird und Azure-Vorteile als Abgelaufen angezeigt werden, können Sie die Synchronisierung manuell mithilfe von PowerShell und Windows Admin Center ausführen. Weitere Informationen finden Sie unter Synchronisieren von Azure Stack HCI.

Was geschieht, wenn ich neue VMs bereitstelle oder VMs lösche?

• Wenn Sie neue VMs bereitstellen, die Azure-Vorteile erfordern, können Sie mithilfe von Windows Admin Center oder PowerShell manuell neue VMs für den Zugriff auf Azure-Vorteile hinzufügen, indem Sie die obigen Anweisungen befolgen.
• Sie können VMs weiterhin wie gewohnt löschen und migrieren. Die NIC AZSHCI_GUEST-IMDS_DO_NOT_MODIFY ist nach der Migration weiterhin auf der VM vorhanden. Um die NIC vor der Migration zu bereinigen, können Sie VMs mithilfe von Windows Admin Center oder PowerShell aus Azure-Vorteilen entfernen, indem Sie die obigen Anweisungen befolgen, oder Sie können NICs zuerst migrieren und anschließend manuell löschen.

Was geschieht, wenn ich Server hinzufüge oder entferne?

• Wenn Sie einen Server hinzufügen, können Sie in Windows Admin Center zur Seite Azure-Vorteile navigieren, woraufhin ein Banner mit einem Link zu Inaktiven Server aktivieren angezeigt wird.
• Alternativ können Sie auch Enable-AzStackHCIAttestation [[-ComputerName] <String>] in PowerShell ausführen.
• Sie können weiterhin wie gewohnt Server löschen oder aus dem Cluster entfernen. Der vSwitch AZSHCI_HOST-IMDS_DO_NOT_MODIFY ist nach dem Entfernen aus dem Cluster weiterhin auf dem Server vorhanden. Sie können ihn verlassen, wenn Sie planen, den Server später wieder zum Cluster hinzuzufügen, oder Sie können ihn manuell entfernen.

Nächste Schritte

• Erweiterte Sicherheitsupdates (ESU) in Azure Stack HCI
• Azure Stack HCI: Übersicht
• Häufig gestellte Fragen zur Azure Stack HCI