Megbízható indítás üzembe helyezése Azure Arc-alapú virtuális gépekhez az Azure Stack HCI 23H2-es verziójában

A következőre vonatkozik: Azure Stack HCI, 23H2-es verzió

Ez a cikk azt ismerteti, hogyan helyezhet üzembe megbízható indítást Azure Arc-alapú virtuális gépekhez az Azure Stack HCI 23H2-es verziójában.

Előfeltételek

Győződjön meg arról, hogy rendelkezik hozzáféréssel egy Azure Stack HCI 23H2-es verziójú fürthöz, amely üzembe van helyezve és regisztrálva van az Azure-ban. További információ: Üzembe helyezés a Azure Portal használatával.

Megbízható indítású Arc virtuális gép létrehozása

Megbízható indítású virtuális gépet Azure Portal vagy az Azure Command-Line Interface (CLI) használatával hozhat létre. A metódus kiválasztásához használja az alábbi lapokat.

Azure Portal

Ha megbízható indítású Arc-virtuális gépet szeretne létrehozni az Azure Stack HCI-n, kövesse az Arc virtuális gépek létrehozása az Azure Stack HCI-n az Azure Portal használatával című cikkben leírt lépéseket, az alábbi módosításokkal:

1. A virtuális gép létrehozásakor válassza a Megbízható indítású virtuális gépek lehetőséget a biztonsági típushoz.

   

2. Válasszon ki egy virtuálisgép-vendég operációsrendszer-lemezképet a támogatott rendszerképek listájából:

   

3. A virtuális gép létrehozása után lépjen a virtuális gép tulajdonságainak lapjára, és ellenőrizze, hogy a megjelenített biztonsági típus megbízható indítás-e.

   

Azure CLI

Ha megbízható indítású Arc virtuális gépet szeretne létrehozni az Azure Stack HCI-n, kövesse az Arc virtuális gépek létrehozása az Azure Stack HCI-ben az Azure CLI használatával című cikkben leírt lépéseket az alábbi módosításokkal:

1. Hozzon létre egy virtuálisgép-lemezképet egy támogatott virtuálisgép-vendég operációsrendszer-lemezkép használatával a Azure Marketplace megbízható indításával. További információ: Azure Stack HCI virtuálisgép-rendszerkép létrehozása Azure Marketplace használatával.

2. Hozzon létre egy virtuális gépet a parancssori felület használatával az alábbiak szerint:

   $vmName="<Name of the VM>" 
   $subscription="<Subscription ID associated with your cluster>" 
   $resourceGroup="<Resource group name for your cluster>" 
   $location="<Location for your Azure Stack HCI cluster>" 
   $customLocationID=(az customlocation show --resource-group $resource_group --name "<custom location name for HCI cluster>" --query id -o tsv) 
   $guestName="<Name of the guest>" 
   $userName="<Username for VM>" 
   $password="<Password for VM>" 
   $galleryImageName="<Name of VM guest image>" 
   $vNic="<Name of virtual network interface>" 
   
   az stack-hci-vm create --name $vmName --subscription $subscription --resource-group $resourceGroup --custom-location=$customLocationID --location $location --size="Default" --computer-name $guestName --admin-username $userName --admin-password $password --image $galleryImageName --nics $vNic --enable-secure-boot true --enable-vtpm true --security-type "TrustedLaunch"
   

   Példa a kimenetre:

   {
     "extendedLocation": {
       "name": "/subscriptions/myhci-sub/resourceGroups/myhci-rg/Microsoft.ExtendedLocation/customLocations/myhci-cl",
       "type": "CustomLocation"
     },
     "id": "/subscriptions/myhci-sub/resourceGroups/myhci-rg/providers/Microsoft.HybridCompute/machines/tvm1/providers/Microsoft.AzureStackHCI/virtualMachineInstances/default",
     "name": "default",
     "properties": {
       "hardwareProfile": {
         "dynamicMemoryConfig": {
           "maximumMemoryMb": null,
           "minimumMemoryMb": null,
           "targetMemoryBuffer": null
         },
         "memoryMb": 4096,
         "processors": 4,
         "vmSize": "Custom"
       },
       "instanceView": {
         "vmAgent": {
           "statuses": []
         }
       },
       "networkProfile": {
         "networkInterfaces": [
           {
             "id": "ram-nic"
           }
         ]
       },
       "osProfile": {
         "adminPassword": null,
         "adminUsername": "admin",
         "computerName": "myhci-tvm",
         "linuxConfiguration": {
           "disablePasswordAuthentication": null,
           "provisionVmAgent": false,
           "provisionVmConfigAgent": false,
           "ssh": {
             "publicKeys": null
           }
         },
         "windowsConfiguration": {
           "enableAutomaticUpdates": null,
           "provisionVmAgent": false,
           "provisionVmConfigAgent": false,
           "ssh": {
             "publicKeys": null
           },
           "timeZone": null
         }
       },
       "provisioningState": "Succeeded",
       "securityProfile": {
         "enableTpm": true,
         "securityType": "TrustedLaunch",
         "uefiSettings": {
           "secureBootEnabled": true
         }
       },
       "status": {
         "powerState": "Running"
       },
       "storageProfile": {
         "dataDisks": [],
         "imageReference": {
           "id": "/subscriptions/myhci-sub/resourceGroups/myhci-rg/providers/Microsoft.AzureStackHCI/marketplacegalleryimages/Win11EntMulti21H2",
           "resourceGroup": "myhci-rg"
         },
         "osDisk": {
           "id": null,
           "osType": "Windows"
         },
         "storagepathId": null
       },
       "vmId": "myhci-tvm-1234567890"
     },
     "resourceGroup": "myhci-rg",
     "systemData": {
       "createdAt": "2023-10-24T19:15:47.152610+00:00",
       "createdBy": "registration@contoso.com",
       "createdByType": "User",
       "lastModifiedAt": "2023-10-24T19:41:05.196469+00:00",
       "lastModifiedBy": "319f651f-7ddb-4fc6-9857-7aef9250bd05",
       "lastModifiedByType": "Application"
     },
     "tags": null,
     "type": "microsoft.azurestackhci/virtualmachineinstances"
   }
   

3. A virtuális gép létrehozása után ellenőrizze a virtuális gép biztonsági típusát megbízható indításként.

4. Futtassa a következő parancsmagot a virtuális gép tulajdonos csomópontjának megkereséséhez:

   Get-ClusterGroup $vmName
   

5. Futtassa a következő parancsmagot a virtuális gép tulajdonos csomópontján:

   (Get-VM $vmName).GuestStateIsolationType
   

6. Győződjön meg arról, hogy a trustedLaunch értéket adja vissza.

Példa

Ez a példa egy megbízható indítású Arc virtuális gépet mutat be, amely Windows 11 vendéget futtat, és engedélyezve van a BitLocker titkosítása. Itt találja a forgatókönyv végrehajtásának lépéseit:

1. Hozzon létre egy megbízható indítású Arc virtuális gépet, amely támogatott Windows 11 vendég operációs rendszert futtat.

2. Engedélyezze a BitLocker titkosítást a Win 11-vendég operációsrendszer-kötetéhez.

   Jelentkezzen be a Windows 11 vendéghez, és engedélyezze a BitLocker titkosítást (az operációs rendszer kötetéhez): A tálcán lévő keresőmezőbe írja be a BitLocker kezelése kifejezést, majd válassza ki a találatok listájából. Válassza a BitLocker bekapcsolása lehetőséget, majd kövesse az utasításokat az operációsrendszer-kötet (C:) titkosításához. A BitLocker a vTPM-et fogja használni az operációs rendszer kötetének kulcsvédőjeként.

3. Migrálja a virtuális gépet a fürt egy másik csomópontjára. Futtassa az alábbi PowerShell-parancsot:

   Move-ClusterVirtualMachineRole -Name $vmName -Node <destination node name> -MigrationType Shutdown
   

4. Győződjön meg arról, hogy a virtuális gép tulajdonos csomópontja a megadott célcsomópont:

   Get-ClusterGroup $vmName
   

5. A virtuális gép migrálása után ellenőrizze, hogy elérhető-e a virtuális gép, és engedélyezve van-e a BitLocker.

6. Ellenőrizze, hogy be tud-e jelentkezni a virtuális gép Windows 11 vendégére, és hogy az operációsrendszer-kötet BitLocker titkosítása engedélyezve marad-e. Ha ezt megteheti, ez megerősíti, hogy a vTPM állapota megmaradt a virtuális gép migrálása során.

   Ha a vTPM állapota nem maradt meg a virtuális gép migrálása során, a virtuális gép indítása BitLocker-helyreállítást eredményezett volna a vendégindítás során. Ez azt jelentette, hogy a rendszer a BitLocker helyreállítási jelszavát kéri, amikor megpróbált bejelentkezni a Windows 11 vendégbe. Ennek az az oka, hogy a célcsomóponton lévő migrált virtuális gép rendszerindítási mérései (a vTPM-ben) eltértek az eredeti virtuális gép rendszerindítási méréseitől.

7. Kényszerítse a virtuális gépet a feladatátvételre a fürt egy másik csomópontjára.

   1. Erősítse meg a virtuális gép tulajdonos csomópontját a következő paranccsal:

      Get-ClusterGroup $vmName
      

   2. A Feladatátvevőfürt-kezelővel állítsa le a fürtszolgáltatást a tulajdonos csomóponton a következő módon: Válassza ki a tulajdonos csomópontot a Feladatátvevőfürt-kezelőben látható módon.  A műveletek jobb oldali ablaktábláján válassza a További műveletek , majd a Fürtszolgáltatás leállítása lehetőséget.

   3. Ha leállítja a fürtszolgáltatást a tulajdonos csomóponton, a virtuális gép automatikusan át lesz migrálva a fürt egy másik elérhető csomópontjára. Ezután indítsa újra a fürtszolgáltatást.

8. A feladatátvétel befejezése után ellenőrizze, hogy a virtuális gép elérhető-e, és hogy a BitLocker engedélyezve van-e a feladatátvétel után.

9. Győződjön meg arról, hogy a virtuális gép tulajdonos csomópontja a megadott célcsomópont:

   Get-ClusterGroup $vmName
   

Következő lépések

• A Megbízható indítású Arc virtuális gép vendégállapot-védelmi kulcsának kezelése.