(Előzetes verzió) Megbízható indítás engedélyezése meglévő virtuálisgép-méretezési csoportban

A következőkre vonatkozik: ✔️ Linux rendszerű ✔️ windowsos ✔️ virtuálisgép-méretezési csoportok egységes

Az Azure-beli virtuálisgép-méretezési csoportok a megbízható indítás engedélyezését támogatják a meglévő egységes méretezési csoportok virtuális gépei esetében, ha megbízható indítási biztonsági típusra frissítenek.

A megbízható indítás lehetővé teszi az Alapszintű számítási biztonságot az Azure 2. generációs virtuális gépeken és méretezési csoportokon, és védelmet nyújt az olyan fejlett és állandó támadási technikákkal szemben, mint a rendszerindító készletek és a rootkitek. Ehhez olyan infrastruktúra-technológiákat kombinál, mint a Biztonságos rendszerindítás, a vTPM és a rendszerindítási integritás monitorozása a méretezési csoportban.

Korlátozások

• A megbízható indítás engedélyezése a meglévő virtuálisgép-méretezési csoportokon az adatlemezekkel jelenleg nem támogatott.

  • Annak ellenőrzéséhez, hogy a méretezési csoport adatlemezzel van-e konfigurálva, lépjen a méretezési csoportra –> Lemezek a Beállítások menüben –> ellenőrizze az Adatlemezek címsor alatt

• A Megbízható indítás engedélyezése a meglévő virtuálisgép-méretezési csoportokon jelenleg nem támogatott.

• A megbízható indítás engedélyezése a meglévő Service Fabric-fürtökön és a Service Fabric által felügyelt fürtökön jelenleg nem támogatott.

Előfeltételek

• Regisztrálja az előzetes verziójú funkciót ImageSkuGenUpdateWithVMSS a névtér alatt Microsoft.Compute a méretezési csoport előfizetésében. További részletekért lásd: Előzetes verziójú funkciók beállítása az Azure-előfizetésben
• A méretezési csoport nem függ a megbízható indítással jelenleg nem támogatott funkcióktól.
• A méretezési csoportot megbízható indítással támogatott méretcsaláddal kell konfigurálni

  Feljegyzés

  • A virtuális gépek mérete a megbízható indítási frissítéssel együtt módosítható. Győződjön meg arról, hogy az új virtuálisgép-méret kvótája a helyén van a frissítési hibák elkerülése érdekében. Tekintse meg a vCPU-kvóták ellenőrzését.
  • A virtuális gép méretének módosítása új mérettel újra létrehozza a virtuálisgép-példányt, és az egyes virtuálisgép-példányok állásidejét igényli. Gördülő frissítési módon is elvégezhető, hogy elkerülje a méretezési beállítás állásidejét.
• A méretezési csoportot megbízható indítással támogatott operációsrendszer-lemezképpel kell konfigurálni. Az Azure Compute Gallery operációsrendszer-rendszerképe esetén győződjön meg arról, hogy a rendszerképdefiníció megbízhatóLaunchSupportedként van megjelölve

Megbízható indítás engedélyezése meglévő egységes méretezési csoporton

Sablon

Ez a szakasz egy ARM-sablon használatának lépéseit ismerteti a meglévő virtuálisgép-méretezési csoport egységesen történő megbízható indításának engedélyezéséhez.

Végezze el az alábbi módosításokat a meglévő ARM-sablon üzembehelyezési kódján. A teljes sablonért tekintse meg a Megbízható indítású méretezési csoport ARM-sablonjának rövid útmutatóját.

Fontos

A megbízható indítási biztonsági típus a méretezési csoporttal apiVersion 2020-12-01 vagy annál magasabb értékekkel érhető el. Ellenőrizze, hogy az API-verzió megfelelően van-e beállítva a frissítés előtt.

1. Operációsrendszer-rendszerkép: Frissítse az operációsrendszer-lemezképre mutató hivatkozást a Gen2-Trusted launch támogatott operációsrendszer-lemezképre. Győződjön meg arról, hogy a gen2-es forrásrendszerkép biztonsági típussal rendelkezik TrustedLaunchSupported , ha az Azure Compute Gallery operációsrendszer-rendszerképét használja.

   "storageProfile": { 
           "osDisk": { 
               "createOption": "FromImage", 
               "caching": "ReadWrite" 
           }, 
           "imageReference": { 
               "publisher": "MicrosoftWindowsServer", 
               "offer": "WindowsServer", 
               "sku": "2022-datacenter-azure-edition", 
               "version": "latest" 
           } 
   }
   

2. (Nem kötelező) Méretezési csoport mérete: Módosítsa a méretezési csoport méretét, ha az aktuális méretcsalád nem támogatott a megbízható indítási biztonsági konfigurációval.

       "sku": { 
           "name": "Standard_D2s_v3", 
           "tier": "Standard", 
           "capacity": "[parameters('instanceCount')]" 
       } 
   

3. Biztonsági profil: Blokk hozzáadása securityProfile a virtualMachineProfile megbízható indítási biztonsági konfiguráció engedélyezéséhez.

   Feljegyzés

   Ajánlott beállítások: vTPM: true és secureBoot: truesecureBoot beállításra van szükség false , ha operációs rendszeren nem aláírt egyéni illesztőprogramot vagy kernelt használ.

   "securityProfile": { 
       "securityType": "TrustedLaunch", 
       "uefiSettings": { 
         "secureBootEnabled": true, 
         "vTpmEnabled": true
       } 
   }
   

4. (Ajánlott) Vendégigazolási bővítmény: Vendégigazolási (GA) bővítmény hozzáadása a méretezési csoport erőforrásához, amely lehetővé teszi a méretezési csoport rendszerindítási integritásának monitorozását.

   Fontos

   A vendégigazolási bővítmény megköveteli secureBoot és vTPM be van állítva.true

   { 
       "condition": "[and(parameters('vTPM'), parameters('secureBoot'))]", 
       "type": "Microsoft.Compute/virtualMachineScaleSets/extensions", 
       "apiVersion": "2022-03-01", 
       "name": "[format('{0}/{1}', parameters('vmssName'), GuestAttestation)]", 
       "location": "[parameters('location')]", 
       "properties": { 
         "publisher": "Microsoft.Azure.Security.WindowsAttestation", 
         "type": "GuestAttestation", 
         "typeHandlerVersion": "1.0", 
         "autoUpgradeMinorVersion": true, 
         "enableAutomaticUpgrade": true, 
         "settings": { 
           "AttestationConfig": { 
             "MaaSettings": { 
               "maaEndpoint": "[substring('emptystring', 0, 0)]", 
               "maaTenantName": "GuestAttestation" 
             } 
           } 
         } 
       }, 
       "dependsOn": [ 
         "[resourceId('Microsoft.Compute/virtualMachineScaleSets', parameters('vmssName'))]" 
       ] 
   } 
   

   A bővítmény közzétevőjének neve:

   Operációs rendszer típusa	Bővítmény közzétevője neve
   Windows	Microsoft.Azure.Security.WindowsAttestation
   Linux	Microsoft.Azure.Security.LinuxAttestation

5. Tekintse át a sablon módosításait.

   Bontsa ki a teljes ARM-mintasablon megtekintéséhez, amely támogatja a meglévő méretezési csoport megbízható indításra és visszaállításra való frissítését (ha szükséges).

   {
     "$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentTemplate.json#",
     "contentVersion": "1.0.0.0",
     "parameters": {
       "vmSku": {
         "type": "string",
         "defaultValue": "Standard_D2s_v3",
         "metadata": {
           "description": "Size of VMs in the VM Scale Set."
         }
       },
       "sku": {
         "type": "string",
         "defaultValue": "2022-datacenter-azure-edition",
         "allowedValues": [
           "2022-datacenter-azure-edition"
         ],
         "metadata": {
           "description": "The Windows version for the VM. This will pick a fully patched image of this given Windows version."
         }
       },
       "vmssName": {
         "type": "string",
         "maxLength": 61,
         "metadata": {
           "description": "String used as a base for naming resources. Must be 3-61 characters in length and globally unique across Azure. A hash is prepended to this string for some resources, and resource-specific information is appended."
         }
       },
       "instanceCount": {
         "type": "int",
         "defaultValue": 2,
         "maxValue": 100,
         "minValue": 1,
         "metadata": {
           "description": "Number of VM instances (100 or less)."
         }
       },
       "adminUsername": {
         "type": "string",
         "metadata": {
           "description": "Admin username on all VMs."
         }
       },
       "adminPassword": {
         "type": "securestring",
         "metadata": {
           "description": "Admin password on all VMs."
         }
       },
       "location": {
         "type": "string",
         "defaultValue": "[resourceGroup().location]",
         "metadata": {
           "description": "Location for all resources."
         }
       },
       "publicIpName": {
         "type": "string",
         "defaultValue": "myPublicIP",
         "metadata": {
           "description": "Name for the Public IP used to access the virtual machine Scale set."
         }
       },
       "publicIPAllocationMethod": {
         "type": "string",
         "defaultValue": "Static",
         "allowedValues": [
           "Dynamic",
           "Static"
         ],
         "metadata": {
           "description": "Allocation method for the Public IP used to access the virtual machine set."
         }
       },
       "publicIpSku": {
         "type": "string",
         "defaultValue": "Standard",
         "allowedValues": [
           "Basic",
           "Standard"
         ],
         "metadata": {
           "description": "SKU for the Public IP used to access the virtual machine Scale set."
         }
       },
       "dnsLabelPrefix": {
         "type": "string",
         "defaultValue": "[toLower(format('{0}-{1}', parameters('vmssName'), uniqueString(resourceGroup().id)))]",
         "metadata": {
           "description": "Unique DNS Name for the Public IP used to access the virtual machine Scale set."
         }
       },
       "healthExtensionProtocol": {
         "type": "string",
         "defaultValue": "TCP",
         "allowedValues": [
           "TCP",
           "HTTP",
           "HTTPS"
         ]
       },
       "healthExtensionPort": {
         "type": "int",
         "defaultValue": 3389
       },
       "healthExtensionRequestPath": {
         "type": "string",
         "defaultValue": "/"
       },
       "overprovision": {
         "type": "bool",
         "defaultValue": false
       },
       "upgradePolicy": {
         "type": "string",
         "defaultValue": "Manual",
         "allowedValues": [
           "Manual",
           "Rolling",
           "Automatic"
         ]
       },
       "maxBatchInstancePercent": {
         "type": "int",
         "defaultValue": 20
       },
       "maxUnhealthyInstancePercent": {
         "type": "int",
         "defaultValue": 20
       },
       "maxUnhealthyUpgradedInstancePercent": {
         "type": "int",
         "defaultValue": 20
       },
       "pauseTimeBetweenBatches": {
         "type": "string",
         "defaultValue": "PT5S"
       },
       "securityType": {
         "type": "string",
         "defaultValue": "TrustedLaunch",
         "allowedValues": [
           "Standard",
           "TrustedLaunch"
         ],
         "metadata": {
           "description": "Security Type of the Virtual Machine."
         }
       },
       "encryptionAtHost": {
           "type": "bool",
           "defaultValue": false,
           "metadata": {
               "description": "This property can be used by user in the request to enable or disable the Host Encryption for the virtual machine or virtual machine Scale set. This will enable the encryption for all the disks including Resource/Temp disk at host itself. The default behavior is: The Encryption at host will be disabled unless this property is set to true for the resource."
           }
       }
     },
     "variables": {
       "namingInfix": "[toLower(substring(format('{0}{1}', parameters('vmssName'), uniqueString(resourceGroup().id)), 0, 9))]",
       "addressPrefix": "10.0.0.0/16",
       "subnetPrefix": "10.0.0.0/24",
       "virtualNetworkName": "[format('{0}vnet', variables('namingInfix'))]",
       "subnetName": "[format('{0}subnet', variables('namingInfix'))]",
       "loadBalancerName": "[format('{0}lb', variables('namingInfix'))]",
       "natPoolName": "[format('{0}natpool', variables('namingInfix'))]",
       "bePoolName": "[format('{0}bepool', variables('namingInfix'))]",
       "natStartPort": 50000,
       "natEndPort": 50119,
       "natBackendPort": 3389,
       "nicName": "[format('{0}nic', variables('namingInfix'))]",
       "ipConfigName": "[format('{0}ipconfig', variables('namingInfix'))]",
       "imageReference": {
         "2022-datacenter-azure-edition": {
           "publisher": "MicrosoftWindowsServer",
           "offer": "WindowsServer",
           "sku": "[parameters('sku')]",
           "version": "latest"
         }
       },
       "extensionName": "GuestAttestation",
       "extensionPublisher": "Microsoft.Azure.Security.WindowsAttestation",
       "extensionVersion": "1.0",
       "maaTenantName": "GuestAttestation",
       "maaEndpoint": "[substring('emptyString', 0, 0)]",
       "uefiSettingsJson": {
           "secureBootEnabled": true,
           "vTpmEnabled": true
       },
       "rollingUpgradeJson": {
         "maxBatchInstancePercent": "[parameters('maxBatchInstancePercent')]",
         "maxUnhealthyInstancePercent": "[parameters('maxUnhealthyInstancePercent')]",
         "maxUnhealthyUpgradedInstancePercent": "[parameters('maxUnhealthyUpgradedInstancePercent')]",
         "pauseTimeBetweenBatches": "[parameters('pauseTimeBetweenBatches')]"
       }
     },
     "resources": [
       {
         "type": "Microsoft.Network/virtualNetworks",
         "apiVersion": "2022-05-01",
         "name": "[variables('virtualNetworkName')]",
         "location": "[parameters('location')]",
         "properties": {
           "addressSpace": {
             "addressPrefixes": [
               "[variables('addressPrefix')]"
             ]
           },
           "subnets": [
             {
               "name": "[variables('subnetName')]",
               "properties": {
                 "addressPrefix": "[variables('subnetPrefix')]"
               }
             }
           ]
         }
       },
       {
         "type": "Microsoft.Network/publicIPAddresses",
         "apiVersion": "2022-05-01",
         "name": "[parameters('publicIpName')]",
         "location": "[parameters('location')]",
         "sku": {
           "name": "[parameters('publicIpSku')]"
         },
         "properties": {
           "publicIPAllocationMethod": "[parameters('publicIPAllocationMethod')]",
           "dnsSettings": {
             "domainNameLabel": "[parameters('dnsLabelPrefix')]"
           }
         }
       },
       {
         "type": "Microsoft.Network/loadBalancers",
         "apiVersion": "2022-05-01",
         "name": "[variables('loadBalancerName')]",
         "location": "[parameters('location')]",
         "sku": {
           "name": "[parameters('publicIpSku')]",
           "tier": "Regional"
         },
         "properties": {
           "frontendIPConfigurations": [
             {
               "name": "LoadBalancerFrontEnd",
               "properties": {
                 "publicIPAddress": {
                   "id": "[resourceId('Microsoft.Network/publicIPAddresses', parameters('publicIpName'))]"
                 }
               }
             }
           ],
           "backendAddressPools": [
             {
               "name": "[variables('bePoolName')]"
             }
           ],
           "inboundNatPools": [
             {
               "name": "[variables('natPoolName')]",
               "properties": {
                 "frontendIPConfiguration": {
                   "id": "[resourceId('Microsoft.Network/loadBalancers/frontendIPConfigurations', variables('loadBalancerName'), 'loadBalancerFrontEnd')]"
                 },
                 "protocol": "Tcp",
                 "frontendPortRangeStart": "[variables('natStartPort')]",
                 "frontendPortRangeEnd": "[variables('natEndPort')]",
                 "backendPort": "[variables('natBackendPort')]"
               }
             }
           ]
         },
         "dependsOn": [
           "[resourceId('Microsoft.Network/publicIPAddresses', parameters('publicIpName'))]"
         ]
       },
       {
         "type": "Microsoft.Compute/virtualMachineScaleSets",
         "apiVersion": "2022-03-01",
         "name": "[parameters('vmssName')]",
         "location": "[parameters('location')]",
         "sku": {
           "name": "[parameters('vmSku')]",
           "tier": "Standard",
           "capacity": "[parameters('instanceCount')]"
         },
         "properties": {
           "virtualMachineProfile": {
             "storageProfile": {
               "osDisk": {
                 "createOption": "FromImage",
                 "caching": "ReadWrite"
               },
               "imageReference": "[variables('imageReference')[parameters('sku')]]"
             },
             "osProfile": {
               "computerNamePrefix": "[variables('namingInfix')]",
               "adminUsername": "[parameters('adminUsername')]",
               "adminPassword": "[parameters('adminPassword')]"
             },
             "securityProfile": {
                 "encryptionAtHost": "[parameters('encryptionAtHost')]",
                 "securityType": "[parameters('securityType')]",
                 "uefiSettings": "[if(equals(parameters('securityType'), 'TrustedLaunch'), variables('uefiSettingsJson'), null())]"
                 
             },
             "networkProfile": {
               "networkInterfaceConfigurations": [
                 {
                   "name": "[variables('nicName')]",
                   "properties": {
                     "primary": true,
                     "ipConfigurations": [
                       {
                         "name": "[variables('ipConfigName')]",
                         "properties": {
                           "subnet": {
                             "id": "[resourceId('Microsoft.Network/virtualNetworks/subnets', variables('virtualNetworkName'), variables('subnetName'))]"
                           },
                           "loadBalancerBackendAddressPools": [
                             {
                               "id": "[resourceId('Microsoft.Network/loadBalancers/backendAddressPools', variables('loadBalancerName'), variables('bePoolName'))]"
                             }
                           ],
                           "loadBalancerInboundNatPools": [
                             {
                               "id": "[resourceId('Microsoft.Network/loadBalancers/inboundNatPools', variables('loadBalancerName'), variables('natPoolName'))]"
                             }
                           ]
                         }
                       }
                     ]
                   }
                 }
               ]
             },
             "extensionProfile": {
               "extensions": [
                 {
                   "name": "HealthExtension",
                   "properties": {
                     "publisher": "Microsoft.ManagedServices",
                     "type": "ApplicationHealthWindows",
                     "typeHandlerVersion": "1.0",
                     "autoUpgradeMinorVersion": false,
                     "settings": {
                       "protocol": "[parameters('healthExtensionProtocol')]",
                       "port": "[parameters('healthExtensionPort')]",
                       "requestPath": "[if(equals(parameters('healthExtensionProtocol'), 'TCP'), null(), parameters('healthExtensionRequestPath'))]"
                     }
                   }
                 }
               ]
             },
             "diagnosticsProfile": {
               "bootDiagnostics": {
                 "enabled": true
               }
             }
           },
           "orchestrationMode": "Uniform",
           "overprovision": "[parameters('overprovision')]",
           "upgradePolicy": {
             "mode": "[parameters('upgradePolicy')]",
             "rollingUpgradePolicy": "[if(equals(parameters('upgradePolicy'), 'Rolling'), variables('rollingUpgradeJson'), null())]",
             "automaticOSUpgradePolicy": {
               "enableAutomaticOSUpgrade": true
             }
           }
         },
         "dependsOn": [
           "[resourceId('Microsoft.Network/loadBalancers', variables('loadBalancerName'))]",
           "[resourceId('Microsoft.Network/virtualNetworks', variables('virtualNetworkName'))]"
         ]
       },
       {
         "condition": "[and(equals(parameters('securityType'), 'TrustedLaunch'), and(equals(variables('uefiSettingsJson').secureBootEnabled, true()), equals(variables('uefiSettingsJson').vTpmEnabled, true())))]",
         "type": "Microsoft.Compute/virtualMachineScaleSets/extensions",
         "apiVersion": "2022-03-01",
         "name": "[format('{0}/{1}', parameters('vmssName'), variables('extensionName'))]",
         "location": "[parameters('location')]",
         "properties": {
           "publisher": "[variables('extensionPublisher')]",
           "type": "[variables('extensionName')]",
           "typeHandlerVersion": "[variables('extensionVersion')]",
           "autoUpgradeMinorVersion": true,
           "enableAutomaticUpgrade": true,
           "settings": {
             "AttestationConfig": {
               "MaaSettings": {
                 "maaEndpoint": "[variables('maaEndpoint')]",
                 "maaTenantName": "[variables('maaTenantName')]"
               }
             }
           }
         },
         "dependsOn": [
           "[resourceId('Microsoft.Compute/virtualMachineScaleSets', parameters('vmssName'))]"
         ]
       }
     ]
   }
   

6. Hajtsa végre az ARM-sablon üzembe helyezését.

   $resourceGroupName = "myResourceGroup"
   $parameterFile = "folderPathToFile\parameters.json"
   $templateFile = "folderPathToFile\template.json"
   
   New-AzResourceGroupDeployment `
       -ResourceGroupName $resourceGroupName `
       -TemplateFile $templateFile -TemplateParameterFile $parameterFile
   

7. Ellenőrizze, hogy az üzembe helyezés sikeres-e. Ellenőrizze a méretezési csoport egységes biztonsági típusát és UEFI-beállításait az Azure Portal használatával. Ellenőrizze a Biztonság típusa szakaszt az Áttekintés lapon.

   

8. Frissítse manuálisan a virtuálisgép-példányokat, ha a méretezési csoport egységes frissítési módja a következőre Manualvan állítva: .

   $resourceGroupName = "myResourceGroup"
   $vmssName = "VMScaleSet001"
   Update-AzVmssInstance -ResourceGroupName $resourceGroupName -VMScaleSetName $vmssName -InstanceId "0"
   

Parancssori felület

Ez a szakasz végigvezeti az Azure CLI használatával, hogy engedélyezze a megbízható indítást a meglévő Azure Scale set Uniform erőforráson.

Győződjön meg arról, hogy a legújabb Azure CLI-t telepítette, és bejelentkezett egy Azure-fiókba az bejelentkezéssel.

Feljegyzés

• A vTPM alapértelmezés szerint engedélyezve van.
• A biztonságos rendszerindítás engedélyezése javasolt (alapértelmezés szerint nem engedélyezett), ha nem használ egyéni aláíratlan kernelt vagy illesztőprogramokat. A Biztonságos rendszerindítás megőrzi a rendszerindítás integritását, és lehetővé teszi a virtuális gép alapvető biztonságát.

1. Bejelentkezés az Azure-előfizetésbe

   az login
   
   az account set --subscription 00000000-0000-0000-0000-000000000000
   

2. Engedélyezze a megbízható indítást az az vmss update paranccsal a következő beállítással--security-type: TrustedLaunch, virtualMachineProfile.storageProfile.imageReference.sku: Gen2-Trusted launch supported os image, --vm-sku: Gen2-Trusted launch supported VM size.

   az vmss update --name MyScaleSet `
       --resource-group MyResourceGroup `
       --set virtualMachineProfile.storageProfile.imageReference.sku='2022-datacenter-azure-edition' `
       --security-type TrustedLaunch --enable-secure-boot $true --enable-vtpm $true
   

   Feljegyzés

   A fenti parancsban használt operációsrendszer-rendszerkép-termékváltozatnak ugyanabból az operációsrendszer-lemezkép-közzétevőből és ajánlatból kell származnia.

3. Ellenőrizze az előző parancs kimenetét. securityProfile parancskimenettel adja vissza a konfigurációt.

   {
     "securityProfile": {
       "securityType": "TrustedLaunch",
       "uefiSettings": {
         "secureBootEnabled": true,
         "vTpmEnabled": true
       }
     }
   }
   

4. Frissítse manuálisan a virtuálisgép-példányokat, ha a méretezési csoport egységes frissítési módja a következőre Manualvan állítva: .

   az vmss update-instances --instance-ids 1 --name MyScaleSet --resource-group MyResourceGroup
   

5. Indítsa el a működés közbeni frissítést, ha a méretezési csoport egységes frissítési módja a következőre RollingUpgradevan állítva: .

   az vmss rolling-upgrade start --name MyScaleSet --resource-group MyResourceGroup
   

PowerShell

Ez a szakasz végigvezeti az Azure PowerShell használatával, hogy engedélyezze a megbízható indítást a meglévő, egységes Azure-beli virtuálisgép-méretezési csoporton.

Győződjön meg arról, hogy telepítette a legújabb Azure PowerShellt, és bejelentkezett egy Azure-fiókba a Connect-AzAccount használatával.

Feljegyzés

• A vTPM alapértelmezés szerint engedélyezve van.
• A biztonságos rendszerindítás engedélyezése javasolt (alapértelmezés szerint nem engedélyezett), ha nem használ egyéni aláíratlan kernelt vagy illesztőprogramokat. A Biztonságos rendszerindítás megőrzi a rendszerindítás integritását, és lehetővé teszi a virtuális gép alapvető biztonságát.

1. Bejelentkezés az Azure-előfizetésbe

   Connect-AzAccount -SubscriptionId 00000000-0000-0000-0000-000000000000
   

2. Engedélyezze a megbízható indítást az Update-AzVMSS paranccsal a következő beállítással-SecurityType: TrustedLaunch, ImageReferenceSku: Gen2-Trusted launch supported os image, -SkuName: Gen2-Trusted launch supported VM size.

   $vmss = Get-AzVmss -VMScaleSetName MyVmssName -ResourceGroupName MyResourceGroup
   
   # Enable Trusted Launch
   Set-AzVmssSecurityProfile -virtualMachineScaleSet $vmss -SecurityType TrustedLaunch
   
   # Enable Trusted Launch settings
   Set-AzVmssUefi -VirtualMachineScaleSet $vmss -EnableVtpm $true -EnableSecureBoot $true
   
   Update-AzVmss -ResourceGroupName $vmss.ResourceGroupName `
       -VMScaleSetName $vmss.Name -VirtualMachineScaleSet $vmss `
       -SecurityType TrustedLaunch -EnableVtpm $true -EnableSecureBoot $true `
       -ImageReferenceSku 2022-datacenter-azure-edition
   

   Feljegyzés

   Az Update-AzVMSS parancsban használt operációsrendszer-rendszerkép-termékváltozatnak ugyanabból az operációsrendszer-rendszerkép-közzétevőből és ajánlatból kell származnia.

3. EllenőrizzesecurityProfile, hogy a rendszer a get-AzVMSS parancskimenettel adja vissza a konfigurációt.

   {
     "securityProfile": {
       "securityType": "TrustedLaunch",
       "uefiSettings": {
         "secureBootEnabled": true,
         "vTpmEnabled": true
       }
     }
   }
   

4. Frissítse manuálisan a virtuálisgép-példányokat, ha a méretezési csoport egységes frissítési módja a következőre Manualvan állítva: .

   Update-AzVmssInstance -ResourceGroupName "MyResourceGroup" -VMScaleSetName "MyScaleSet" -InstanceId "0"
   

5. Indítsa el a működés közbeni frissítést, ha a méretezési csoport egységes frissítési módja a következőre RollingUpgradevan állítva: .

   Start-AzVmssRollingOSUpgrade -ResourceGroupName "MyResourceGroup" -VMScaleSetName "MyScaleSet"
   

Visszaállítás

Ha vissza szeretné állítani a módosításokat a Megbízható indításról a korábbi jól ismert konfigurációra, a Méretezési csoportot Standard értékre kell állítaniasecurityType.

Sablon

Ha vissza szeretné állítani a módosításokat a megbízható indításról a korábbi jól ismert konfigurációra, állítsa a securityProfile Standard értékre az ábrán látható módon. Másik lehetőségként a paraméterek egyéb módosításait is visszaállíthatja – operációsrendszer-rendszerképet, virtuális gép méretét, és ismételje meg az 5–8. lépést a meglévő méretezési csoportban való megbízható indítás engedélyezésével

"securityProfile": {
    "securityType": "Standard",
    "uefiSettings": "[null()]"
}

Parancssori felület

Feljegyzés

Az Azure CLI 2.62.0-s vagy újabb verziójára van szükség a VMSS egységes verziójának visszaállításához a megbízható indítástól a nem megbízható indítási konfigurációig.

Ha vissza szeretné állítani a módosításokat a Megbízható indításról a korábbi jól ismert konfigurációra, állítsa be --security-type az ábrán látható módon Standard . Másik lehetőségként a paraméterek egyéb módosításait is visszaállíthatja – operációsrendszer-rendszerképet, virtuális gép méretét, és megismételheti a 2–5. lépést, amelyet a meglévő méretezési csoport megbízható indításának engedélyezése című cikkben ismertet.

az vmss update --name MyScaleSet `
        --resource-group MyResourceGroup `
        --security-type Standard

PowerShell

Ha vissza szeretné állítani a módosításokat a Megbízható indításról a korábbi jól ismert konfigurációra, állítsa be -SecurityType az ábrán látható módon Standard . Másik lehetőségként a paraméterek egyéb módosításait is visszaállíthatja – operációsrendszer-rendszerképet, virtuális gép méretét, és megismételheti a 2–5. lépést, amelyet a meglévő méretezési csoport megbízható indításának engedélyezése című cikkben ismertet.

$vmss = Get-AzVmss -VMScaleSetName MyVmssName -ResourceGroupName MyResourceGroup

# Roll-back Trusted Launch
Set-AzVmssSecurityProfile -virtualMachineScaleSet $vmss -SecurityType Standard

Update-AzVmss -ResourceGroupName $vmss.ResourceGroupName `
    -VMScaleSetName $vmss.Name -VirtualMachineScaleSet $vmss `
    -SecurityType Standard `
    -ImageReferenceSku 2022-datacenter-azure-edition

Következő lépések

(Ajánlott) A frissítés utáni funkciók lehetővé teszik a rendszerindítási integritás monitorozását a virtuális gép állapotának figyeléséhez a Felhőhöz készült Microsoft Defender használatával.

További információ a megbízható indításról és a gyakori kérdések áttekintéséről.