Verifikasi Azure untuk VM

Berlaku untuk: Azure Stack HCI, versi 23H2

Microsoft Azure menawarkan berbagai beban kerja dan kemampuan berbeda yang dirancang untuk dijalankan di Azure saja. Azure Stack HCI memperbanyak manfaat Azure, sambil berjalan di lingkungan lokal atau edge yang sama dan berkinerja tinggi.

Verifikasi Azure untuk VM memungkinkan beban kerja eksklusif Azure yang didukung berfungsi di luar cloud. Fitur ini, yang dimodelkan setelah layanan pengesahan IMDS di Azure, adalah layanan pengesahan platform bawaan yang diaktifkan secara default pada Azure Stack HCI 23H2 atau yang lebih baru. Ini membantu memberikan jaminan bagi VM ini untuk beroperasi di lingkungan Azure lainnya.

Untuk informasi selengkapnya tentang versi sebelumnya dari fitur ini di Azure Stack HCI, versi 22H2 atau yang lebih lama, lihat Manfaat Azure di Azure Stack HCI.

Manfaat yang tersedia di Azure Stack HCI

Verifikasi Azure untuk VM memungkinkan Anda menggunakan manfaat ini hanya tersedia di Azure Stack HCI:

Beban kerja	Apa fungsinya	Cara mendapatkan manfaat
Penambal Keamanan Diperpanjang (ESU)	Dapatkan pembaruan keamanan tanpa biaya tambahan untuk VM SQL dan Windows Server akhir dukungan di Azure Stack HCI. Untuk informasi selengkapnya, lihat Pembaruan Keamanan Diperpanjang Gratis (ESU) di Azure Stack HCI.	Anda harus mengaktifkan dukungan OS Warisan untuk VM lama yang menjalankan versi Windows Server 2012 atau yang lebih lama dengan Pembaruan Tumpukan Layanan Terbaru.
Azure Virtual Desktop (AVD)	Host sesi AVD hanya dapat berjalan pada infrastruktur Azure. Aktifkan VM multi-sesi Windows Anda di Azure Stack HCI menggunakan verifikasi Azure VM. Persyaratan lisensi untuk AVD masih berlaku. Lihat Harga Azure Virtual Desktop.	Diaktifkan secara otomatis untuk VM yang menjalankan multi-sesi Windows 11 versi dengan pembaruan 4B yang dirilis pada 9 April 2024 (22H2: KB5036893, 21H2: KB5036894) atau yang lebih baru. Anda harus mengaktifkan dukungan OS warisan untuk VM yang menjalankan multi-sesi Windows 10 versi dengan pembaruan 4B yang dirilis pada 9 April 2024 KB5036892 atau yang lebih baru.
Pusat Data Windows Server: Azure Edition	Azure Edition VM hanya dapat berjalan pada infrastruktur Azure. Aktifkan VM Windows Server Azure Edition Anda dan gunakan inovasi Windows Server terbaru dan fitur eksklusif lainnya. Persyaratan lisensi masih berlaku. Lihat cara untuk melisensikan VM Windows Server di Azure Stack HCI.	Diaktifkan secara otomatis untuk VM yang menjalankan Windows Server Azure Edition 2022 dengan pembaruan 4B dirilis pada 9 April 2024 (KB5036909) atau yang lebih baru.
Konfigurasi tamu Azure Policy	Dapatkan konfigurasi tamu Azure Policy tanpa biaya. Ekstensi Arc ini memungkinkan audit dan konfigurasi pengaturan OS sebagai kode untuk server dan VM.	Agen Arc versi 1.39 atau yang lebih baru. Lihat Rilis agen Arc terbaru.

Catatan

Untuk memastikan fungsionalitas berkelanjutan, perbarui VM Anda di Azure Stack HCI ke pembaruan kumulatif terbaru paling lambat 17 Juni 2024. Pembaruan ini sangat penting bagi VM untuk terus menggunakan manfaat Azure. Lihat posting blog Azure Stack HCI untuk informasi selengkapnya.

Mengelola verifikasi Azure VM

Verifikasi Azure VM diaktifkan secara otomatis secara default di Azure Stack HCI 23H2 atau yang lebih baru. Instruksi berikut menguraikan prasyarat untuk menggunakan fitur ini dan langkah-langkah untuk mengelola manfaat (opsional).

Catatan

Untuk mengaktifkan Pembaruan Keamanan Diperpanjang (ESUs), Anda harus melakukan penyiapan tambahan dan mengaktifkan dukungan OS warisan.

Prasyarat host

• Pastikan Anda memiliki akses ke sistem Azure Stack HCI versi 23H2. Semua server harus online, terdaftar, dan kluster yang disebarkan. Untuk informasi selengkapnya, lihat Mendaftarkan server Anda dengan Arc dan lihat Menyebarkan melalui portal Azure.
• Pasang Hyper-V dan RSAT-Hyper-V-Tools.
• (Opsional) Jika Anda menggunakan Pusat Admin Windows, Anda harus menginstal ekstensi Cluster Manager (versi 2.319.0) atau yang lebih baru.

Prasyarat komputer virtual

• Pastikan untuk memperbarui VM Anda. Lihat persyaratan versi untuk beban kerja.

• Aktifkan Antarmuka Layanan Tamu Hyper-V. Lihat instruksi untuk Pusat Admin Windows atau untuk PowerShell.

Anda dapat mengelola verifikasi Azure VM menggunakan Pusat Admin Windows atau PowerShell, atau menampilkan statusnya menggunakan Azure CLI atau portal Azure. Bagian berikut mendeskripsikan setiap opsi secara lebih detail.

Portal Azure

1. Di halaman sumber daya kluster Azure Stack HCI Anda, navigasikan ke tab Konfigurasi.

2. Di bawah fitur Verifikasi Azure untuk VM, lihat status pengesahan host.

   

Azure CLI

Azure CLI tersedia untuk diinstal di lingkungan Windows, macOS, dan Linux. Ini juga dapat dijalankan di Azure Cloud Shell. Bagian ini menjelaskan cara menggunakan Bash di Azure Cloud Shell. Untuk informasi selengkapnya, lihat Mulai Cepat untuk Azure Cloud Shell.

Luncurkan Azure Cloud Shell dan gunakan Azure CLI untuk memeriksa verifikasi Azure VM dengan mengikuti langkah-langkah berikut:

1. Menyiapkan parameter dari langganan, grup sumber daya, dan nama kluster Anda

   subscription="00000000-0000-0000-0000-000000000000" # Replace with your subscription ID
   resourceGroup="hcicluster-rg" # Replace with your resource group name
   clusterName="HCICluster" # Replace with your cluster name
   
   az account set --subscription "${subscription}"
   

2. Untuk melihat status verifikasi Azure VM pada kluster, jalankan perintah berikut:

   az stack-hci cluster list \
   --resource-group "${resourceGroup}" \
   --query "[?name=='${clusterName}'].{Name:name, AzureBenefitsHostAttestation:reportedProperties.imdsAttestation}" \
   -o table
   

Pusat Admin Windows

Memeriksa status server verifikasi Azure VM

1. Di Pusat Admin Windows, pilih Manajer Kluster dari menu drop-down atas, navigasikan ke kluster yang ingin Anda aktifkan, lalu di bawah Pengaturan, pilih Verifikasi Azure untuk VM.

2. Untuk memeriksa status server verifikasi Azure VM:

   • Status tingkat kluster: Status host muncul sebagai Aktif.

   • Status tingkat server: Di bawah tab Server di dasbor, periksa apakah status untuk setiap server ditampilkan sebagai Aktif dalam tabel.

     

Memecahkan masalah server

• Di bawah tab Server , jika satu atau beberapa server muncul sebagai Kedaluwarsa:
  • Jika server belum disinkronkan dengan Azure selama lebih dari 30 hari, statusnya muncul sebagai Kedaluwarsa atau Tidak Aktif. Pilih Sinkronkan dengan Azure untuk menjadwalkan sinkronisasi manual.

Mengelola manfaat yang diaktifkan pada VM

1. Untuk memeriksa manfaat apa yang diaktifkan pada VM, navigasikan ke tab VM .

2. Dasbor menunjukkan jumlah VM dengan:

   • Manfaat aktif: VM ini memiliki fitur eksklusif Azure yang diaktifkan melalui verifikasi Azure VM.
   • Manfaat tidak aktif: VM ini memiliki fitur eksklusif Azure yang memerlukan tindakan lebih lanjut sebelum aktivasi.
   • Tidak diketahui: Kami tidak dapat menentukan manfaat yang memenuhi syarat untuk VM ini karena pertukaran data Hyper-V dinonaktifkan. Lihat bagian pemecahan masalah berikut.
   • Tidak ada manfaat yang berlaku: VM ini tidak memiliki fitur eksklusif Azure dan karenanya tidak memerlukan verifikasi Azure VM.

3. Tabel menampilkan manfaat yang Memenuhi Syarat yang berlaku untuk setiap VM. Lihat daftar lengkap manfaat yang tersedia di Azure Stack HCI.

   

Memecahkan masalah VM

• Di bawah tab VM , jika satu atau beberapa VM muncul sebagai Manfaat tidak aktif:

  • Jika tindakan yang disarankan adalah Menginstal pembaruan, Anda mungkin tidak memiliki versi OS minimum yang diperlukan untuk keuntungan tersebut. Perbarui VM untuk memenuhi persyaratan versi untuk beban kerja.
  • Jika tindakan yang disarankan adalah Mengaktifkan Antarmuka Layanan Tamu, pilih dan buka panel konteks untuk mengaktifkan Antarmuka Layanan Tamu Hyper-V. Fitur ini diperlukan agar VM berkomunikasi dengan host melalui VMbus.
  • Jika tindakan yang disarankan berkaitan dengan dukungan OS warisan, lihat pemecahan masalah untuk dukungan OS warisan.

• Di bawah tab VM , jika satu atau beberapa VM muncul sebagai Tidak Diketahui:

  • Jika Anda ingin menentukan manfaat yang tersedia untuk VM ini, Anda dapat melakukannya secara manual dengan memeriksa daftar lengkap manfaat yang tersedia di Azure Stack HCI, atau Pusat Admin Windows dapat menampilkan informasi ini. Untuk mengakses informasi melalui Pusat Admin Windows, aktifkan pertukaran data Hyper-V (KVP) untuk VM Anda dengan memilih tindakan berlabel Aktifkan pertukaran data Hyper-V.

PowerShell

Memeriksa status server verifikasi Azure VM

• Saat penyiapan verifikasi Azure VM berhasil, Anda dapat melihat status host. Periksa properti kluster IMDS Attestation dengan menjalankan perintah berikut:

  Get-AzureStackHCI
  

• Atau, untuk melihat status verifikasi Azure VM untuk server, jalankan perintah berikut:

  Get-AzureStackHCIAttestation [[-ComputerName] <string>]
  

Memecahkan masalah server

• Jika verifikasi Azure VM untuk satu atau beberapa server belum disinkronkan dan diperbarui dengan Azure, mungkin muncul sebagai Kedaluwarsa atau Tidak Aktif. Menjadwalkan sinkronisasi manual:

  Sync-AzureStackHCI
  

Mengelola manfaat yang diaktifkan pada VM

• Untuk memeriksa akses ke verifikasi Azure VM untuk VM, jalankan perintah berikut:

  Get-AzStackHCIVMAttestation
  

  Catatan

  VM yang didukung untuk v2 dapat berkomunikasi dengan server menggunakan VMBus. Sebaliknya, VM yang didukung v1 dikonfigurasi dengan dukungan OS warisan dan dapat mengakses verifikasi Azure VM melalui REST. Jika VM mendukung v1 dan v2, metode v2 (yaitu VMBus) terutama digunakan, tetapi dapat kembali ke v1 jika v2 mengalami masalah.

Memecahkan masalah VM

• Untuk menyiapkan akses ke verifikasi Azure VM untuk VM, Anda dapat mengaktifkan Antarmuka Layanan Tamu Hyper-V.

  Untuk memeriksa apakah Antarmuka Layanan Tamu Hyper-V diaktifkan, jalankan:

  Get-VMIntegrationService [[-VMName] <VMName>] -Name "Guest Service Interface"
  

• Untuk mengaktifkan Antarmuka Layanan Tamu Hyper-V:

  Enable-VMIntegrationService [[-VMName] <VMName>] -Name "Guest Service Interface"
  

• Untuk memeriksa apakah VM dapat mengakses verifikasi Azure VM pada host, jalankan perintah berikut pada host:

  Invoke-RestMethod -Headers @{"Metadata"="true"} -Method GET -Uri "http://127.0.0.1:42542/metadata/attested/document?api-version=2018-10-01" –usedefaultcredentials
  

Dukungan OS warisan

Untuk VM lama yang tidak memiliki fungsionalitas Hyper-V yang diperlukan (Antarmuka Layanan Tamu) untuk berkomunikasi langsung dengan host, Anda harus mengonfigurasi komponen jaringan tradisional untuk verifikasi Azure VM. Jika Anda memiliki beban kerja ini, seperti Pembaruan Keamanan Diperpanjang (ESUs), ikuti instruksi di bagian ini untuk menyiapkan dukungan OS warisan.

Portal Azure

Anda tidak dapat melihat dukungan OS warisan dari portal Azure saat ini.

Azure CLI

Azure CLI tersedia untuk diinstal di lingkungan Windows, macOS, dan Linux. Ini juga dapat dijalankan di Azure Cloud Shell. Bagian ini menjelaskan cara menggunakan Bash di Azure Cloud Shell. Untuk informasi selengkapnya, lihat Mulai Cepat untuk Azure Cloud Shell.

Luncurkan Azure Cloud Shell dan gunakan Azure CLI untuk memeriksa verifikasi Azure VM dengan mengikuti langkah-langkah berikut:

1. Siapkan parameter dari langganan, grup sumber daya, dan nama kluster Anda:

   subscription="00000000-0000-0000-0000-000000000000" # Replace with your subscription ID
   resourceGroup="hcicluster-rg" # Replace with your resource group name
   clusterName="HCICluster" # Replace with your cluster name
   
   az account set --subscription "${subscription}"
   

2. Untuk melihat status dukungan OS warisan pada kluster, jalankan perintah berikut:

   az stack-hci cluster list \
   --resource-group "${resourceGroup}" \
   --query "[?name=='${clusterName}'].{Name:name, AzureBenefitsHostAttestation:reportedProperties.supportedCapabilities}" \
   -o table
   

Pusat Admin Windows

1. Aktifkan dukungan OS warisan pada host

1. Di Pusat Admin Windows, pilih Manajer Kluster dari menu drop-down atas, navigasikan ke kluster yang ingin Anda aktifkan, lalu di bawah Pengaturan, pilih Verifikasi Azure untuk VM.

2. Di bagian untuk dukungan OS Warisan, pilih Ubah status. Pilih Aktif di panel konteks. Pengaturan ini juga memungkinkan akses jaringan untuk semua VM yang ada. Anda harus mengaktifkan dukungan OS warisan secara manual untuk VM baru yang Anda buat nanti.

3. Pilih Ubah status untuk mengonfirmasi. Mungkin perlu waktu beberapa menit bagi server untuk mencerminkan perubahan.

4. Ketika dukungan OS warisan berhasil diaktifkan:

   • Periksa apakah dukungan OS Warisan muncul sebagai Aktif.

   • Di bawah tab Server di dasbor, periksa apakah dukungan OS warisan untuk setiap server ditampilkan sebagai Aktif dalam tabel.

     

2. Aktifkan akses untuk VM baru

Anda harus mengaktifkan jaringan OS warisan untuk VM baru yang Anda buat setelah penyiapan pertama. Untuk mengelola akses untuk VM, navigasikan ke tab VM . VM apa pun yang memerlukan akses dukungan OS warisan muncul sebagai Tidak Aktif. Pilih tindakan untuk Menyiapkan jaringan OS warisan untuk VM yang dipilih, atau untuk semua VM yang ada pada kluster.

Catatan

Agar berhasil mengaktifkan dukungan OS warisan pada VM Generasi 1, VM harus terlebih dahulu dimatikan untuk memungkinkan NIC ditambahkan.

PowerShell

1. Aktifkan dukungan OS warisan pada host

• Jalankan perintah berikut dari jendela PowerShell yang ditingkatkan di kluster Azure Stack HCI Anda:

  Enable-AzStackHCIAttestation
  

• Atau, jika Anda ingin menambahkan semua VM yang ada pada pengaturan, Anda dapat menjalankan perintah berikut:

  Enable-AzStackHCIAttestation -AddVM
  

• Periksa apakah dukungan OS warisan diaktifkan:

  Get-AzureStackHCIAttestation [[-ComputerName] <string>]
  

Memecahkan masalah server

• Untuk menonaktifkan dan mengatur ulang dukungan OS warisan pada kluster Anda, jalankan perintah berikut:

  Disable-AzStackHCIAttestation -RemoveVM
  

2. Aktifkan akses untuk VM

• Untuk mengonfigurasi akses jaringan untuk VM yang dipilih, jalankan perintah berikut pada kluster Azure Stack HCI Anda:

  Add-AzStackHCIVMAttestation [-VMName]
  

• Atau, untuk menambahkan semua VM yang ada, jalankan perintah berikut:

  Add-AzStackHCIVMAttestation -AddAll
  

• Dapatkan daftar VM yang memiliki akses ke dukungan OS warisan:

  Get-AzStackHCIVMAttestation
  

  Catatan

  Agar berhasil mengaktifkan dukungan OS warisan pada VM Generasi 1, VM harus terlebih dahulu dimatikan untuk memungkinkan NIC ditambahkan.

Memecahkan masalah VM

• Untuk menghapus akses ke dukungan OS warisan untuk VM yang dipilih:

  Remove-AzStackHCIVMAttestation -VMName <string>
  

  Atau, untuk menghapus akses untuk semua VM yang ada:

  Remove-AzStackHCIVMAttestation -RemoveAll
  

• Untuk memeriksa apakah VM dapat mengakses dukungan OS warisan pada host, jalankan perintah berikut pada VM:

  Invoke-RestMethod -Headers @{"Metadata"="true"} -Method GET -Uri http://169.254.169.253:80/metadata/attested/document?api-version=2018-10-01
  

FAQ

Bagian ini menyediakan jawaban atas beberapa pertanyaan yang sering diajukan tentang menggunakan Manfaat Azure.

Beban kerja eksklusif Azure apa yang dapat saya aktifkan dengan verifikasi Azure VM?

Lihat daftar lengkapnya di sini.

Apakah perlu biaya apa pun untuk mengaktifkan verifikasi Azure VM?

Tidak. Mengaktifkan verifikasi Azure VM tidak dikenakan biaya tambahan.

Dapatkah saya menggunakan verifikasi Azure VM pada lingkungan selain Azure Stack HCI?

Tidak. Verifikasi Azure VM adalah fitur yang disertakan dalam OS Azure Stack HCI, dan hanya dapat digunakan di Azure Stack HCI.

Jika saya baru saja meningkatkan ke 23H2 dari 22H2, dan sebelumnya saya mengaktifkan fitur Manfaat Azure, apakah saya perlu melakukan sesuatu yang baru?

Jika Anda meningkatkan kluster yang sebelumnya memiliki Manfaat Azure di Azure Stack HCI yang disiapkan untuk beban kerja Anda, Anda tidak perlu melakukan apa pun saat meningkatkan ke 23H2. Saat Anda meningkatkan, fitur tetap diaktifkan, dan dukungan OS warisan juga diaktifkan. Namun, jika Anda ingin menggunakan cara yang ditingkatkan untuk melakukan komunikasi VM-to-host melalui Bus VM di 23H2, pastikan Anda memiliki prasyarat host yang diperlukan dan prasyarat VM.

Saya baru saja menyiapkan verifikasi Azure VM di kluster saya. Bagaimana cara memastikan bahwa verifikasi Azure VM tetap aktif?

• Dalam kebanyakan kasus, tidak ada tindakan pengguna yang diperlukan. Azure Stack HCI secara otomatis memperbarui verifikasi Azure VM saat disinkronkan dengan Azure.
• Namun, jika kluster terputus selama lebih dari 30 hari dan verifikasi Azure VM ditampilkan sebagai Kedaluwarsa, Anda dapat menyinkronkan secara manual menggunakan PowerShell dan Pusat Admin Windows. Untuk informasi selengkapnya, lihat menyinkronkan Azure Stack HCI.

Apa yang terjadi ketika saya menyebarkan VM baru, atau menghapus VM?

• Saat Anda menyebarkan VM baru yang memerlukan verifikasi Azure VM, VM akan diaktifkan secara otomatis jika memiliki prasyarat VM yang benar.

• Namun, untuk VM warisan yang menggunakan dukungan OS warisan, Anda dapat menambahkan VM baru secara manual untuk mengakses verifikasi Azure VM menggunakan Pusat Admin Windows atau PowerShell, menggunakan instruksi sebelumnya.

• Anda masih dapat menghapus dan memigrasikan VM seperti biasa. NIC AZSHCI_GUEST-IMDS_DO_NOT_MODIFY masih ada di VM setelah migrasi. Untuk membersihkan NIC sebelum migrasi, Anda dapat menghapus VM dari verifikasi Azure VM menggunakan Windows Admin Center atau PowerShell menggunakan instruksi sebelumnya untuk dukungan OS warisan, atau Anda dapat bermigrasi terlebih dahulu dan menghapus NIC secara manual setelahnya.

Apa yang terjadi ketika saya menambahkan atau menghapus server?

• Saat Anda menambahkan server, server akan diaktifkan secara otomatis jika memiliki prasyarat Host yang benar.
• Jika Anda menggunakan dukungan OS warisan, Anda mungkin perlu mengaktifkan server ini secara manual. Jalankan Enable-AzStackHCIAttestation [[-ComputerName] <String>] di PowerShell. Anda masih dapat menghapus server atau menghapusnya dari kluster seperti biasa. vSwitch AZSHCI_HOST-IMDS_DO_NOT_MODIFY masih ada di server setelah penghapusan dari kluster. Anda dapat membiarkannya jika Anda berencana untuk menambahkan server kembali ke kluster nanti, atau Anda dapat menghapusnya secara manual.

Langkah berikutnya

• Pembaruan keamanan diperpanjang (ESU) di Azure Stack HCI.
• Gambaran umum Azure Stack HCI.
• Tanya Jawab Umum Azure Stack HCI.