Azure-verificatie voor VM's

Van toepassing op: Azure Stack HCI, versie 23H2

Microsoft Azure biedt verschillende gedifferentieerde workloads en mogelijkheden die alleen kunnen worden uitgevoerd in Azure. Azure Stack HCI breidt veel van de voordelen uit die u krijgt van Azure, terwijl u werkt in dezelfde vertrouwde en hoogwaardige on-premises of edge-omgevingen.

Met Azure-verificatie voor VM's kunnen ondersteunde, exclusieve Azure-workloads buiten de cloud werken. Deze functie, gemodelleerd na de IMDS Attestation-service in Azure, is een ingebouwde platform attestation-service die standaard is ingeschakeld op Azure Stack HCI 23H2 of hoger. Het helpt om garanties te bieden voor deze VM's om te werken in andere Azure-omgevingen.

Zie Azure Benefits in Azure Stack HCI voor meer informatie over de vorige versie van deze functie in Azure Stack HCI, versie 22H2 of eerder.

Voordelen die beschikbaar zijn in Azure Stack HCI

Met Azure-verificatie voor VM kunt u deze voordelen alleen gebruiken in Azure Stack HCI:

Workload	Wat het is	Voordelen krijgen
Uitgebreide beveiligingsupdate (EKU's)	Ontvang zonder extra kosten beveiligingsupdates voor SQL- en Windows Server-VM's aan het einde van de ondersteuning op Azure Stack HCI. Zie Gratis uitgebreide beveiligingsupdates (ESU) op Azure Stack HCI voor meer informatie.	U moet ondersteuning voor verouderde besturingssystemen inschakelen voor oudere VM's met versie Windows Server 2012 of eerder met de nieuwste onderhoudsstackupdates.
Azure Virtual Desktop (AVD)	AVD-sessiehosts kunnen alleen worden uitgevoerd in de Azure-infrastructuur. Activeer uw Windows-VM's met meerdere sessies op Azure Stack HCI met behulp van Azure VM-verificatie. Licentievereisten voor AVD zijn nog steeds van toepassing. Zie prijzen voor Azure Virtual Desktop.	Automatisch geactiveerd voor VM's met versie Windows 11 met meerdere sessies met 4B-update die is uitgebracht op 9 april 2024 (22H2: KB5036893, 21H2: KB5036894) of hoger. U moet verouderde besturingssysteemondersteuning inschakelen voor VM's met versie Windows 10 voor meerdere sessies met 4B-update die is uitgebracht op 9 april 2024 KB5036892 of hoger.
Windows Server Datacenter: Azure Edition	Azure Edition-VM's kunnen alleen worden uitgevoerd in de Azure-infrastructuur. Activeer uw Windows Server Azure Edition-VM's en gebruik de nieuwste innovaties van Windows Server en andere exclusieve functies. Licentievereisten zijn nog steeds van toepassing. Bekijk manieren om virtuele Windows Server-machines in Azure Stack HCI te licentie te geven.	Automatisch geactiveerd voor VM's met Windows Server Azure Edition 2022 met 4B-update die is uitgebracht op 9 april 2024 (KB5036909) of hoger.
Azure Update Manager	Download Azure Update Manager zonder kosten. Deze service biedt een SaaS-oplossing voor het beheren en beheren van software-updates voor VM's in Azure Stack HCI.	Automatisch beschikbaar voor Arc-VM's. U moet Azure-verificatie inschakelen voor niet-Arc-VM's. Zie veelgestelde vragen over Azure Update Manager voor meer informatie.
Azure Policy-gastconfiguratie	Azure Policy-gastconfiguratie zonder kosten ophalen. Deze Arc-extensie maakt het controleren en configureren van besturingssysteeminstellingen mogelijk als code voor servers en VM's.	Arc-agent versie 1.39 of hoger. Zie de meest recente release van de Arc-agent.

Notitie

Werk uw VM's in Azure Stack HCI bij naar de meest recente cumulatieve update op 17 juni 2024 om de functionaliteit te waarborgen. Deze update is essentieel voor VM's om azure-voordelen te blijven gebruiken. Zie het Azure Stack HCI-blogbericht voor meer informatie.

Azure VM-verificatie beheren

Verificatie van Azure-VM's wordt automatisch ingeschakeld in Azure Stack HCI 23H2 of hoger. De volgende instructies geven een overzicht van de vereisten voor het gebruik van deze functie en de stappen voor het beheren van voordelen (optioneel).

Notitie

Als u uitgebreide beveiligingsupdates (ESU's) wilt inschakelen, moet u aanvullende instellingen uitvoeren en verouderde besturingssysteemondersteuning inschakelen.

Vereisten voor de host

• Zorg ervoor dat u toegang hebt tot een Azure Stack HCI- versie 23H2-systeem. Alle servers moeten online, geregistreerd en geïmplementeerd cluster zijn. Zie Uw servers registreren bij Arc en implementeren via Azure Portal voor meer informatie.
• Installeer Hyper-V en RSAT-Hyper-V-Tools.
• (Optioneel) Als u Windows Admin Center gebruikt, moet u de extensie Clusterbeheer (versie 2.319.0) of hoger installeren.

VM-vereisten

• Zorg ervoor dat u uw VM's bijwerkt. Bekijk de versievereisten voor workloads.

• Schakel hyper-V-gastserviceinterface in. Zie de instructies voor het Windows-beheercentrum of voor PowerShell.

U kunt verificatie van Azure-VM's beheren met behulp van Het Windows-beheercentrum of PowerShell, of de status ervan bekijken met behulp van Azure CLI of Azure Portal. In de volgende secties wordt elke optie beschreven.

Azure-portal

1. Navigeer op de resourcepagina van uw Azure Stack HCI-cluster naar het tabblad Configuratie .

2. Bekijk onder de functie Azure-verificatie voor VM's de status van de hostattest.

   

Azure-CLI

Azure CLI is beschikbaar voor installatie in Windows-, macOS- en Linux-omgevingen. Het kan ook worden uitgevoerd in Azure Cloud Shell. In deze sectie wordt beschreven hoe u Bash gebruikt in Azure Cloud Shell. Zie Quickstart voor Azure Cloud Shell voor meer informatie.

Start Azure Cloud Shell en gebruik Azure CLI om de verificatie van Azure-VM's te controleren door de volgende stappen uit te voeren:

1. Parameters instellen vanuit uw abonnement, resourcegroep en clusternaam

   subscription="00000000-0000-0000-0000-000000000000" # Replace with your subscription ID
   resourceGroup="hcicluster-rg" # Replace with your resource group name
   clusterName="HCICluster" # Replace with your cluster name
   
   az account set --subscription "${subscription}"
   

2. Voer de volgende opdracht uit om de verificatiestatus van azure-VM's in een cluster weer te geven:

   az stack-hci cluster list \
   --resource-group "${resourceGroup}" \
   --query "[?name=='${clusterName}'].{Name:name, AzureBenefitsHostAttestation:reportedProperties.imdsAttestation}" \
   -o table
   

Windows-beheercentrum

De serverstatus van verificatie van Azure-VM's controleren

1. Selecteer Clusterbeheer in het bovenste vervolgkeuzemenu in het Windows-beheercentrum, navigeer naar het cluster dat u wilt activeren en selecteer vervolgens onder Instellingen Azure-verificatie voor VM's.

2. Ga als volgende te werk om de status van de verificatieserver van azure-VM's te controleren:

   • Status op clusterniveau: de hoststatus wordt weergegeven als Aan.

   • Status op serverniveau: controleer op het tabblad Server in het dashboard of de status voor elke server wordt weergegeven als Actief in de tabel.

     

Problemen met servers oplossen

• Als op het tabblad Server een of meer servers worden weergegeven als Verlopen:
  • Als de server langer dan 30 dagen niet is gesynchroniseerd met Azure, wordt de status weergegeven als Verlopen of Inactief. Selecteer synchroniseren met Azure om een handmatige synchronisatie te plannen.

Voordelen beheren die zijn geactiveerd op VM's

1. Als u wilt controleren welke voordelen zijn geactiveerd op VM's, gaat u naar het tabblad VM's .

2. Het dashboard toont het aantal VIRTUELE machines met:

   • Actieve voordelen: deze VM's hebben exclusieve Functies van Azure geactiveerd via azure-VM-verificatie.
   • Inactieve voordelen: deze VM's hebben exclusieve Functies van Azure die verdere actie nodig hebben voordat ze worden geactiveerd.
   • Onbekend: we kunnen de in aanmerking komende voordelen voor deze VM's niet bepalen omdat Hyper-V-gegevensuitwisseling is uitgeschakeld. Zie de volgende sectie voor probleemoplossing.
   • Geen van toepassingsvoordelen: deze VM's hebben geen exclusieve Azure-functies en vereisen daarom geen verificatie van Azure-VM's.

3. In de tabel wordt het in aanmerking komende voordeel weergegeven dat van toepassing is op elke VIRTUELE machine. Bekijk de volledige lijst met voordelen die beschikbaar zijn in Azure Stack HCI.

   

Problemen met VM's oplossen

• Als op het tabblad VM's een of meer VM's worden weergegeven als inactieve voordelen:

  • Als de voorgestelde actie is om updates te installeren, hebt u mogelijk niet de minimale versie van het besturingssysteem vereist voor het voordeel. Werk de VM bij om te voldoen aan de versievereisten voor workloads.
  • Als de voorgestelde actie is om de interface van de gastservice in te schakelen, selecteert u deze en opent u het contextvenster om de Interface van de Hyper-V-gastservice in te schakelen. Deze functie is vereist voor vm's om via VMbus met de host te communiceren.
  • Als de voorgestelde actie betrekking heeft op verouderde besturingssysteemondersteuning, raadpleegt u probleemoplossing voor verouderde besturingssysteemondersteuning.

• Als op het tabblad VM's een of meer VIRTUELE machines worden weergegeven als Onbekend:

  • Als u de beschikbare voordelen voor deze VM's wilt bepalen, kunt u dit handmatig doen door de volledige lijst met voordelen te controleren die beschikbaar zijn in Azure Stack HCI of door het Windows-beheercentrum kan deze informatie worden weergegeven. Als u toegang wilt krijgen tot de informatie via het Windows-beheercentrum, schakelt u Hyper-V-gegevensuitwisseling (KVP) in voor uw VM's door de actie te selecteren met het label Hyper-V-gegevensuitwisseling inschakelen.

Powershell

De serverstatus van verificatie van Azure-VM's controleren

• Wanneer de installatie van de verificatie van azure-VM's is geslaagd, kunt u de hoststatus bekijken. Controleer de clustereigenschap IMDS Attestation door de volgende opdracht uit te voeren:

  Get-AzureStackHCI
  

• Als u de verificatiestatus van azure-VM's voor servers wilt weergeven, voert u de volgende opdracht uit:

  Get-AzureStackHCIAttestation [[-ComputerName] <string>]
  

Problemen met servers oplossen

• Als verificatie van azure-VM's voor een of meer servers nog niet is gesynchroniseerd en vernieuwd met Azure, kan deze worden weergegeven als Verlopen of Inactief. Een handmatige synchronisatie plannen:

  Sync-AzureStackHCI
  

Voordelen beheren die zijn geactiveerd op VM's

• Voer de volgende opdracht uit om de toegang tot azure-VM-verificatie voor VM's te controleren:

  Get-AzStackHCIVMAttestation
  

  Notitie

  Een VM die wordt ondersteund voor v2 kan communiceren met de server met behulp van VMBus. Omgekeerd wordt een ondersteunde virtuele machine met v1 geconfigureerd met verouderde besturingssysteemondersteuning en heeft ze toegang tot verificatie van Azure-VM's via REST. Als een virtuele machine zowel v1 als v2 ondersteunt, wordt de v2-methode (dat wil bijvoorbeeld VMBus) voornamelijk gebruikt, maar kan deze terugvallen op v1 als v2 een probleem ondervindt.

Problemen met VM's oplossen

• Als u toegang tot verificatie van Virtuele Azure-machines voor VM's wilt instellen, kunt u de Interface van de Hyper-V-gastservice inschakelen.

  Voer de volgende opdracht uit om te controleren of de Interface van de Hyper-V-gastservice is ingeschakeld:

  Get-VMIntegrationService [[-VMName] <VMName>] -Name "Guest Service Interface"
  

• De Hyper-V-gastserviceinterface inschakelen:

  Enable-VMIntegrationService [[-VMName] <VMName>] -Name "Guest Service Interface"
  

• Voer de volgende opdracht uit op de host om te controleren of de VM's toegang hebben tot verificatie van Azure-VM's op de host:

  Invoke-RestMethod -Headers @{"Metadata"="true"} -Method GET -Uri "http://127.0.0.1:42542/metadata/attested/document?api-version=2018-10-01" –usedefaultcredentials
  

Ondersteuning voor verouderde besturingssystemen

Voor oudere VM's die niet beschikken over de benodigde Hyper-V-functionaliteit (Guest Service Interface) om rechtstreeks met de host te communiceren, moet u traditionele netwerkonderdelen configureren voor verificatie van Azure-VM's. Als u deze workloads hebt, zoals Uitgebreide beveiligingsupdates (EKU's), volgt u de instructies in deze sectie om verouderde besturingssysteemondersteuning in te stellen.

Azure-portal

U kunt op dit moment geen verouderde ondersteuning voor het besturingssysteem bekijken vanuit Azure Portal.

Azure-CLI

Azure CLI is beschikbaar voor installatie in Windows-, macOS- en Linux-omgevingen. Het kan ook worden uitgevoerd in Azure Cloud Shell. In deze sectie wordt beschreven hoe u Bash gebruikt in Azure Cloud Shell. Zie de quickstart voor Azure Cloud Shell voor meer informatie.

Start Azure Cloud Shell en gebruik Azure CLI om verificatie van Azure-VM's te controleren door de volgende stappen uit te voeren:

1. Stel parameters in vanuit uw abonnement, resourcegroep en clusternaam:

   subscription="00000000-0000-0000-0000-000000000000" # Replace with your subscription ID
   resourceGroup="hcicluster-rg" # Replace with your resource group name
   clusterName="HCICluster" # Replace with your cluster name
   
   az account set --subscription "${subscription}"
   

2. Voer de volgende opdracht uit om de status van verouderde besturingssysteemondersteuning op een cluster weer te geven:

   az stack-hci cluster list \
   --resource-group "${resourceGroup}" \
   --query "[?name=='${clusterName}'].{Name:name, AzureBenefitsHostAttestation:reportedProperties.supportedCapabilities}" \
   -o table
   

Windows-beheercentrum

1. Verouderde besturingssysteemondersteuning op de host inschakelen

1. Selecteer Clusterbeheer in het bovenste vervolgkeuzemenu in het Windows-beheercentrum, navigeer naar het cluster dat u wilt activeren en selecteer vervolgens onder Instellingen Azure-verificaties voor VM's.

2. Selecteer De status Wijzigen in de sectie voor ondersteuning van verouderde besturingssystemen. Selecteer Aan in het contextvenster. Deze instelling maakt ook netwerktoegang mogelijk voor alle bestaande VM's. U moet verouderde besturingssysteemondersteuning handmatig inschakelen voor nieuwe VM's die u later maakt.

3. Selecteer De status Wijzigen om te bevestigen. Het kan enkele minuten duren voordat servers de wijzigingen weerspiegelen.

4. Wanneer verouderde besturingssysteemondersteuning is ingeschakeld:

   • Controleer of verouderde besturingssysteemondersteuning wordt weergegeven als Aan.

   • Controleer op het tabblad Server in het dashboard of verouderde besturingssysteemondersteuning voor elke server wordt weergegeven als Aan in de tabel.

     

2. Toegang inschakelen voor nieuwe VM's

U moet verouderde besturingssysteemnetwerken inschakelen voor alle nieuwe VM's die u na de eerste installatie maakt. Als u de toegang voor VM's wilt beheren, gaat u naar het tabblad VM's . Alle VM's waarvoor verouderde toegang tot het besturingssysteem is vereist, worden als Inactief weergegeven. Selecteer de actie voor het instellen van verouderde besturingssysteemnetwerken voor de geselecteerde VM of voor alle bestaande VM's in het cluster.

Notitie

Als u verouderde besturingssysteemondersteuning wilt inschakelen op VM's van de eerste generatie, moet de VIRTUELE machine eerst worden uitgeschakeld om de NIC toe te voegen.

Powershell

1. Verouderde besturingssysteemondersteuning op de host inschakelen

• Voer de volgende opdracht uit vanuit een PowerShell-venster met verhoogde bevoegdheid in uw Azure Stack HCI-cluster:

  Enable-AzStackHCIAttestation
  

• Als u alle bestaande VM's wilt toevoegen bij de installatie, kunt u ook de volgende opdracht uitvoeren:

  Enable-AzStackHCIAttestation -AddVM
  

• Controleer of verouderde besturingssysteemondersteuning is ingeschakeld:

  Get-AzureStackHCIAttestation [[-ComputerName] <string>]
  

Problemen met servers oplossen

• Voer de volgende opdracht uit om verouderde besturingssysteemondersteuning op uw cluster uit te schakelen en opnieuw in te stellen:

  Disable-AzStackHCIAttestation -RemoveVM
  

2. Toegang inschakelen voor VM's

• Als u netwerktoegang voor geselecteerde VM's wilt configureren, voert u de volgende opdracht uit op uw Azure Stack HCI-cluster:

  Add-AzStackHCIVMAttestation [-VMName]
  

• Als u alle bestaande VM's wilt toevoegen, voert u de volgende opdracht uit:

  Add-AzStackHCIVMAttestation -AddAll
  

• Lijst ophalen met VM's die toegang hebben tot verouderde besturingssysteemondersteuning:

  Get-AzStackHCIVMAttestation
  

  Notitie

  Als u verouderde besturingssysteemondersteuning wilt inschakelen op VM's van de eerste generatie, moet de VIRTUELE machine eerst worden uitgeschakeld om de NIC toe te voegen.

Problemen met VM's oplossen

• Toegang tot verouderde besturingssysteemondersteuning voor geselecteerde VM's verwijderen:

  Remove-AzStackHCIVMAttestation -VMName <string>
  

  Of als u de toegang voor alle bestaande VM's wilt verwijderen:

  Remove-AzStackHCIVMAttestation -RemoveAll
  

• Als u wilt controleren of de VM's toegang hebben tot verouderde besturingssysteemondersteuning op de host, voert u de volgende opdracht uit op de VM:

  Invoke-RestMethod -Headers @{"Metadata"="true"} -Method GET -Uri http://169.254.169.253:80/metadata/attested/document?api-version=2018-10-01
  

Veelgestelde vragen

In deze sectie vindt u antwoorden op enkele veelgestelde vragen over het gebruik van Azure Benefits.

Welke exclusieve Workloads van Azure kan ik inschakelen met azure-VM-verificatie?

Zie hier de volledige lijst.

Kost het iets om azure-VM-verificatie in te schakelen?

Nee Voor het inschakelen van Azure VM-verificatie worden geen extra kosten in rekening gebracht.

Kan ik Azure VM-verificatie gebruiken in andere omgevingen dan Azure Stack HCI?

Nee Azure VM-verificatie is een functie die is ingebouwd in het Azure Stack HCI-besturingssysteem en kan alleen worden gebruikt in Azure Stack HCI.

Als ik net een upgrade heb uitgevoerd naar 23H2 vanaf 22H2 en ik eerder de Azure Benefits-functie heb ingeschakeld, moet ik iets nieuws doen?

Als u een upgrade hebt uitgevoerd van een cluster waarvoor Azure Benefits in Azure Stack HCI is ingesteld voor uw workloads, hoeft u niets te doen wanneer u een upgrade uitvoert naar 23H2. Wanneer u een upgrade uitvoert, blijft de functie ingeschakeld en wordt ook verouderde besturingssysteemondersteuning ingeschakeld. Als u echter in 23H2 een verbeterde manier wilt gebruiken om communicatie tussen VM's en hosts uit te voeren via VM Bus, moet u ervoor zorgen dat u beschikt over de vereiste hostvereisten en de VM-vereisten.

Ik heb alleen verificatie van Azure-VM's ingesteld op mijn cluster. Hoe kan ik ervoor zorgen dat verificatie van Virtuele Azure-machines actief blijft?

• In de meeste gevallen is er geen gebruikersactie vereist. Azure Stack HCI vernieuwt automatisch azure-VM-verificatie wanneer deze wordt gesynchroniseerd met Azure.
• Als het cluster echter langer dan 30 dagen wordt verbroken en azure-VM-verificatie wordt weergegeven als Verlopen, kunt u handmatig synchroniseren met behulp van PowerShell en Het Windows-beheercentrum. Zie Azure Stack HCI synchroniseren voor meer informatie.

Wat gebeurt er wanneer ik nieuwe VM's implementeer of VM's verwijder?

• Wanneer u nieuwe VM's implementeert waarvoor verificatie van Azure-VM's is vereist, worden ze automatisch geactiveerd als ze over de juiste VM-vereisten beschikken.

• Voor verouderde VM's met ondersteuning voor verouderde besturingssystemen kunt u echter handmatig nieuwe VM's toevoegen om toegang te krijgen tot verificatie van Azure-VM's met behulp van het Windows-beheercentrum of PowerShell met behulp van de voorgaande instructies.

• U kunt vm's nog steeds zoals gebruikelijk verwijderen en migreren. De NIC AZSHCI_GUEST-IMDS_DO_NOT_MODIFY bestaat nog steeds op de VIRTUELE machine na de migratie. Als u de NIC vóór de migratie wilt opschonen, kunt u VM's verwijderen uit azure-VM-verificatie met behulp van het Windows-beheercentrum of PowerShell met behulp van de voorgaande instructies voor verouderde besturingssysteemondersteuning, of u kunt NIC's daarna eerst migreren en handmatig verwijderen.

Wat gebeurt er wanneer ik servers toevoeg of verwijder?

• Wanneer u een server toevoegt, wordt deze automatisch geactiveerd als deze over de juiste hostvereisten beschikt.
• Als u verouderde besturingssysteemondersteuning gebruikt, moet u deze servers mogelijk handmatig inschakelen. Uitvoeren Enable-AzStackHCIAttestation [[-ComputerName] <String>] in PowerShell. U kunt servers nog steeds verwijderen of verwijderen uit het cluster zoals gebruikelijk. De vSwitch AZSHCI_HOST-IMDS_DO_NOT_MODIFY bestaat nog steeds op de server na verwijdering uit het cluster. U kunt deze laten staan als u van plan bent om de server later weer toe te voegen aan het cluster, of u kunt deze handmatig verwijderen.

Volgende stappen

• Uitgebreide beveiligingsupdates (ESU) in Azure Stack HCI.
• Overzicht van Azure Stack HCI.
• Veelgestelde vragen over Azure Stack HCI.