Azure Stack HCI バージョン 23H2 に Azure Arc VM のトラステッド起動をデプロイする

適用対象: Azure Stack HCI バージョン 23H2

この記事では、Azure Stack HCI バージョン 23H2 に Azure Arc 仮想マシン (VM) のトラステッド起動をデプロイする方法について説明します。

前提条件

Azure にデプロイおよび登録されている Azure Stack HCI バージョン 23H2 クラスターにアクセスできることを確認します。 詳細については、「Azure portalを使用したデプロイ」を参照してください。

トラステッド起動 Arc VM を作成する

信頼された起動 VM は、Azure portalを使用するか、Azure Command-Line インターフェイス (CLI) を使用して作成できます。 以下のタブを使用して、メソッドを選択します。

Azure Portal

Azure Stack HCI でトラステッド起動 Arc VM を作成するには、「Azure portal を使用して Azure Stack HCI に Arc 仮想マシンを作成する」の手順に従います。次の変更があります。

1. VM の作成時に、セキュリティの種類として [ トラステッド起動仮想マシン ] を選択します。

   

2. サポートされているイメージの一覧から VM ゲスト OS イメージを選択します。

   

3. VM が作成されたら、 VM のプロパティ ページに移動し、表示されるセキュリティの種類が [信頼された起動] であることを確認します。

   

Azure CLI

Azure Stack HCI でトラステッド起動 Arc VM を作成するには、「Azure CLI を使用して Azure Stack HCI に Arc 仮想マシンを作成 する」の手順に従います。次の変更があります。

1. Azure Marketplaceからのトラステッド起動でサポートされている VM ゲスト OS イメージを使用して VM イメージを作成します。 詳細については、「Azure Marketplaceを使用して Azure Stack HCI VM イメージを作成する」を参照してください。

2. 次のように CLI を使用して VM を作成します。

   $vmName="<Name of the VM>" 
   $subscription="<Subscription ID associated with your cluster>" 
   $resourceGroup="<Resource group name for your cluster>" 
   $location="<Location for your Azure Stack HCI cluster>" 
   $customLocationID=(az customlocation show --resource-group $resource_group --name "<custom location name for HCI cluster>" --query id -o tsv) 
   $guestName="<Name of the guest>" 
   $userName="<Username for VM>" 
   $password="<Password for VM>" 
   $galleryImageName="<Name of VM guest image>" 
   $vNic="<Name of virtual network interface>" 
   
   az stack-hci-vm create --name $vmName --subscription $subscription --resource-group $resourceGroup --custom-location=$customLocationID --location $location --size="Default" --computer-name $guestName --admin-username $userName --admin-password $password --image $galleryImageName --nics $vNic --enable-secure-boot true --enable-vtpm true --security-type "TrustedLaunch"
   

   サンプル出力:

   {
     "extendedLocation": {
       "name": "/subscriptions/myhci-sub/resourceGroups/myhci-rg/Microsoft.ExtendedLocation/customLocations/myhci-cl",
       "type": "CustomLocation"
     },
     "id": "/subscriptions/myhci-sub/resourceGroups/myhci-rg/providers/Microsoft.HybridCompute/machines/tvm1/providers/Microsoft.AzureStackHCI/virtualMachineInstances/default",
     "name": "default",
     "properties": {
       "hardwareProfile": {
         "dynamicMemoryConfig": {
           "maximumMemoryMb": null,
           "minimumMemoryMb": null,
           "targetMemoryBuffer": null
         },
         "memoryMb": 4096,
         "processors": 4,
         "vmSize": "Custom"
       },
       "instanceView": {
         "vmAgent": {
           "statuses": []
         }
       },
       "networkProfile": {
         "networkInterfaces": [
           {
             "id": "ram-nic"
           }
         ]
       },
       "osProfile": {
         "adminPassword": null,
         "adminUsername": "admin",
         "computerName": "myhci-tvm",
         "linuxConfiguration": {
           "disablePasswordAuthentication": null,
           "provisionVmAgent": false,
           "provisionVmConfigAgent": false,
           "ssh": {
             "publicKeys": null
           }
         },
         "windowsConfiguration": {
           "enableAutomaticUpdates": null,
           "provisionVmAgent": false,
           "provisionVmConfigAgent": false,
           "ssh": {
             "publicKeys": null
           },
           "timeZone": null
         }
       },
       "provisioningState": "Succeeded",
       "securityProfile": {
         "enableTpm": true,
         "securityType": "TrustedLaunch",
         "uefiSettings": {
           "secureBootEnabled": true
         }
       },
       "status": {
         "powerState": "Running"
       },
       "storageProfile": {
         "dataDisks": [],
         "imageReference": {
           "id": "/subscriptions/myhci-sub/resourceGroups/myhci-rg/providers/Microsoft.AzureStackHCI/marketplacegalleryimages/Win11EntMulti21H2",
           "resourceGroup": "myhci-rg"
         },
         "osDisk": {
           "id": null,
           "osType": "Windows"
         },
         "storagepathId": null
       },
       "vmId": "myhci-tvm-1234567890"
     },
     "resourceGroup": "myhci-rg",
     "systemData": {
       "createdAt": "2023-10-24T19:15:47.152610+00:00",
       "createdBy": "registration@contoso.com",
       "createdByType": "User",
       "lastModifiedAt": "2023-10-24T19:41:05.196469+00:00",
       "lastModifiedBy": "319f651f-7ddb-4fc6-9857-7aef9250bd05",
       "lastModifiedByType": "Application"
     },
     "tags": null,
     "type": "microsoft.azurestackhci/virtualmachineinstances"
   }
   

3. VM が作成されたら、VM のセキュリティの種類を [信頼された起動] として確認します。

4. 次のコマンドレットを実行して、VM の所有者ノードを見つけます。

   Get-ClusterGroup $vmName
   

5. VM の所有者ノードで次のコマンドレットを実行します。

   (Get-VM $vmName).GuestStateIsolationType
   

6. TrustedLaunch の値が返されていることを確認します。

例

この例では、BitLocker 暗号化が有効になっているゲストWindows 11実行されているトラステッド起動 Arc VM を示します。 ここでは、シナリオを実行する手順を示します。

1. サポートされているWindows 11ゲスト オペレーティング システムを実行しているトラステッド起動 Arc VM を作成します。

2. Win 11 ゲストの OS ボリュームに対して BitLocker 暗号化を有効にします。

   Windows 11 ゲストにサインインし、BitLocker 暗号化を有効にします (OS ボリュームの場合): タスク バーの検索ボックスに「Manage BitLocker」と入力し、結果の一覧から選択します。 [ BitLocker を有効にする ] を選択し、指示に従って OS ボリューム (C:) を暗号化します。 BitLocker では、OS ボリュームのキー保護機能として vTPM が使用されます。

3. クラスター内の別のノードに VM を移行します。 次の PowerShell コマンドを実行します。

   Move-ClusterVirtualMachineRole -Name $vmName -Node <destination node name> -MigrationType Shutdown
   

4. VM の所有者ノードが指定された宛先ノードであることを確認します。

   Get-ClusterGroup $vmName
   

5. VM の移行が完了したら、VM が使用可能で BitLocker が有効になっているかどうかを確認します。

6. VM でWindows 11 ゲストにログインできるかどうかを確認し、OS ボリュームの BitLocker 暗号化が有効なままかどうかを確認します。 これを行うことができる場合は、VM の移行中に vTPM 状態が保持されたことを確認します。

   VM の移行中に vTPM の状態が保持されなかった場合、VM の起動により、ゲストの起動中に BitLocker の回復が発生します。 つまり、Windows 11 ゲストにログインしようとしたときに、BitLocker 回復パスワードの入力を求められます。 これは、移行先ノード上の移行された VM のブート測定値 (vTPM に格納されている) が、元の VM とは異なっていたためです。

7. クラスター内の別のノードに VM を強制的にフェールオーバーします。

   1. 次のコマンドを使用して、VM の所有者ノードを確認します。

      Get-ClusterGroup $vmName
      

   2. フェールオーバー クラスター マネージャーを使用して、所有者ノードでクラスター サービスを停止します。フェールオーバー クラスター マネージャーに表示されている所有者ノードを選択します。  [ アクション ] 右側のウィンドウで、[ その他のアクション] を選択し、[ クラスター サービスの停止] を選択します。

   3. 所有者ノードでクラスター サービスを停止すると、VM はクラスター内の別の使用可能なノードに自動的に移行されます。 後でクラスター サービスを再起動します。

8. フェールオーバーが完了したら、VM が使用可能で、フェールオーバー後に BitLocker が有効になっているかどうかを確認します。

9. VM の所有者ノードが指定された宛先ノードであることを確認します。

   Get-ClusterGroup $vmName
   

次の手順

• 信頼された起動 Arc VM のゲスト状態保護キーを管理します。