Azure-voordelen op Azure Stack HCI (22H2 en eerder)

Van toepassing op: Azure Stack HCI, versie 22H2

Notitie

Dit artikel is alleen bedoeld voor Azure Stack HCI versie 22H2 en eerder. Zie Azure-verificatie voor VM's voor een lijst met voordelen die zijn gekoppeld aan versie 23H2 en hoger.

Microsoft Azure biedt verschillende gedifferentieerde workloads en mogelijkheden die alleen kunnen worden uitgevoerd in Azure. Azure Stack HCI breidt veel van de voordelen uit die u krijgt van Azure, terwijl u werkt in dezelfde vertrouwde en hoogwaardige on-premises of edge-omgevingen.

Met Azure Benefits kunnen ondersteunde, exclusieve Azure-workloads buiten de cloud werken. U kunt Azure Benefits in Azure Stack HCI zonder extra kosten inschakelen. Als u Windows Server-workloads hebt, raden we u aan deze in te schakelen.

Neem enkele minuten de tijd om de inleidende video over Azure Benefits te bekijken:

Azure-voordelen die beschikbaar zijn in Azure Stack HCI

Als u Azure Benefits inschakelt, kunt u deze exclusieve Azure-workloads in Azure Stack HCI gebruiken:

Workload	Ondersteunde versies	Wat het is
Windows Server Datacenter: Azure Edition	Editie 2022 of hoger	Een gastbesturingssysteem met alleen Azure dat alle nieuwste Innovaties van Windows Server en andere exclusieve functies bevat. Meer informatie: Automatisch beheren voor Windows Server
Uitgebreide beveiligingsupdate (EKU's)	Beveiligingsupdates van 12 oktober 2021 of hoger	Een programma waarmee klanten beveiligingsupdates kunnen blijven ontvangen voor SQL Server- en Windows Server-VM's met end-of-support, nu gratis wanneer ze worden uitgevoerd op Azure Stack HCI. Zie Uitgebreide beveiligingsupdates (ESU) op Azure Stack HCI voor meer informatie.
Azure Policy-gastconfiguratie	Arc-agent versie 1.13 of hoger	Een functie waarmee besturingssysteeminstellingen kunnen worden gecontroleerd of geconfigureerd als code, voor zowel host- als gastmachines. Meer informatie: Inzicht krijgen in de gastconfiguratiefunctie van Azure Policy
Azure Virtual Desktop	Alleen voor edities met meerdere sessies. Windows 10 Enterprise voor meerdere sessies of hoger.	Een service waarmee u Azure Virtual Desktop-sessiehosts kunt implementeren in uw Azure Stack HCI-infrastructuur. Zie het overzicht van Azure Virtual Desktop voor Azure Stack HCI voor meer informatie.

Hoe het werkt

In deze sectie wordt optioneel gelezen en wordt uitgelegd hoe Azure Benefits in HCI 'onder de motorkap' werkt.

Azure Benefits is afhankelijk van een ingebouwde attestation-service voor platformen in Azure Stack HCI en helpt om te garanderen dat VM's inderdaad worden uitgevoerd in Azure-omgevingen.

Deze service wordt gemodelleerd na dezelfde IMDS Attestation-service die wordt uitgevoerd in Azure, om een aantal van dezelfde workloads en voordelen mogelijk te maken die beschikbaar zijn voor klanten in Azure. Azure Benefits retourneert een bijna identieke nettolading. Het belangrijkste verschil is dat het on-premises wordt uitgevoerd en daarom garandeert dat VM's worden uitgevoerd in Azure Stack HCI in plaats van Azure.

Als u Azure Benefits inschakelt, wordt de service gestart die wordt uitgevoerd op uw Azure Stack HCI-cluster:

1. Op elke server verkrijgt HciSvc een certificaat van Azure en slaat het veilig op in een enclave op de server.

   Notitie

   Certificaten worden telkens vernieuwd wanneer het Azure Stack HCI-cluster wordt gesynchroniseerd met Azure en elke verlenging is 30 dagen geldig. Zolang u de gebruikelijke connectiviteitsvereisten van 30 dagen voor Azure Stack HCI onderhoudt, is er geen gebruikersactie vereist.

2. HciSvc maakt een privé- en niet-routeerbaar REST-eindpunt beschikbaar, dat alleen toegankelijk is voor VM's op dezelfde server. Als u dit eindpunt wilt inschakelen, wordt een interne vSwitch geconfigureerd op de Azure Stack HCI-host (met de naam AZSHCI_HOST-IMDS_DO_NOT_MODIFY). Vm's moeten vervolgens een NIC hebben geconfigureerd en gekoppeld aan dezelfde vSwitch (AZSHCI_GUEST-IMDS_DO_NOT_MODIFY).

   Notitie

   Als u deze switch en NIC wijzigt of verwijdert, werkt Azure Benefits niet goed. Als er fouten optreden, schakelt u Azure-voordelen uit met behulp van het Windows-beheercentrum of de PowerShell-instructies die volgen en probeert u het opnieuw.

3. Consumentenworkloads (bijvoorbeeld Gasten van Windows Server Azure Edition) vragen attestation aan. HciSvc ondertekent vervolgens het antwoord met een Azure-certificaat.

   Notitie

   U moet handmatig toegang inschakelen voor elke VIRTUELE machine waarvoor Azure Benefits nodig is.

Azure-voordelen inschakelen

Voordat u begint, hebt u de volgende vereisten nodig:

• Een Azure Stack HCI-cluster:

  • Updates installeren: versie 21H2, met ten minste de beveiligingsupdate van 14 december 2021 KB5008223 of hoger.
  • Azure Stack HCI registreren: alle servers moeten online zijn en zijn geregistreerd bij Azure.
  • Installeer Hyper-V en RSAT-Hyper-V-Tools.

• Als u windows-beheercentrum gebruikt:

  • Windows Admin Center (versie 2103 of hoger) met clusterbeheerextensie (versie 2.41.0 of hoger).

U kunt Azure Benefits inschakelen in Azure Stack HCI met behulp van Windows Admin Center, PowerShell, Azure CLI of Azure Portal. In de volgende secties wordt elke optie beschreven.

Notitie

Als u Azure Benefits wilt inschakelen op VM's van de eerste generatie, moet de VIRTUELE machine eerst worden uitgeschakeld om de NIC toe te voegen.

Azure-voordelen beheren

Windows-beheercentrum

1. Selecteer Clusterbeheer in het bovenste vervolgkeuzemenu in het Windows-beheercentrum, ga naar het cluster dat u wilt activeren en selecteer vervolgens onder Instellingen De voordelen van Azure.

2. Selecteer Inschakelen in het deelvenster Azure-voordelen. Standaard is het selectievakje ingeschakeld voor alle bestaande VM's. U kunt de selectie opheffen en later handmatig VM's toevoegen.

3. Selecteer Opnieuw inschakelen om de installatie te bevestigen. Het kan enkele minuten duren voordat servers de wijzigingen weerspiegelen.

4. Wanneer de installatie van Azure Benefits is voltooid, wordt de pagina bijgewerkt om het Dashboard Azure Benefits weer te geven. Azure-voordelen voor de host controleren:

   1. Controleer of de status van het Azure Benefits-cluster wordt weergegeven als Aan.
   2. Controleer op het tabblad Cluster in het dashboard of Azure Benefits voor elke server wordt weergegeven als Actief in de tabel.

5. Als u de toegang tot Azure-voordelen voor VM's wilt controleren: controleer de status van VM's waarvoor Azure-voordelen zijn ingeschakeld. Het wordt aanbevolen dat al uw bestaande VM's Azure-voordelen hebben ingeschakeld; Bijvoorbeeld 3 van de 3 VM's.

Azure PowerShell

1. Als u Azure Benefits wilt instellen, voert u de volgende opdracht uit vanuit een PowerShell-venster met verhoogde bevoegdheid in uw Azure Stack HCI-cluster:

   Enable-AzStackHCIAttestation
   

   Als u alle bestaande VM's wilt toevoegen bij de installatie, kunt u ook de volgende opdracht uitvoeren:

   Enable-AzStackHCIAttestation -AddVM
   

2. Wanneer de installatie van Azure Benefits is geslaagd, kunt u de Status van Azure-voordelen bekijken. Controleer de clustereigenschap IMDS Attestation door de volgende opdracht uit te voeren:

   Get-AzureStackHCI
   

   Als u de Status van Azure Benefits voor servers wilt weergeven, voert u de volgende opdracht uit:

   Get-AzureStackHCIAttestation [[-ComputerName] <string>]
   

3. Voer de volgende opdracht uit om de toegang tot Azure Benefits for VM's te controleren:

   Get-AzStackHCIVMAttestation
   

Azure-portal

1. Navigeer op de resourcepagina van uw Azure Stack HCI-cluster naar het tabblad Configuratie .

2. Bekijk onder de functie Azure-voordelen inschakelen de status van de hostverklaring:

   

Azure-CLI

Azure CLI is beschikbaar voor installatie in Windows-, macOS- en Linux-omgevingen. Het kan ook worden uitgevoerd in Azure Cloud Shell. In dit document wordt beschreven hoe u Bash gebruikt in Azure Cloud Shell. Raadpleeg de quickstart voor Azure Cloud Shell voor meer informatie.

Start Azure Cloud Shell en gebruik Azure CLI om Azure Benefits te configureren door de volgende stappen uit te voeren:

1. Parameters instellen vanuit uw abonnement, resourcegroep en clusternaam

   subscription="00000000-0000-0000-0000-000000000000" # Replace with your subscription ID
   resourceGroup="hcicluster-rg" # Replace with your resource group name
   clusterName="HCICluster" # Replace with your cluster name
   
   az account set --subscription "${subscription}"
   

2. Voer de volgende opdracht uit om de Status van Azure Benefits op een cluster weer te geven:

   az stack-hci cluster list \
   --resource-group "${resourceGroup}" \
   --query "[?name=='${clusterName}'].{Name:name, AzureBenefitsHostAttestation:reportedProperties.imdsAttestation}" \
   -o table
   

Toegang tot Azure-voordelen voor uw VM's beheren - Windows-beheercentrum

Als u Azure-voordelen voor VM's wilt inschakelen, selecteert u het tabblad VM's , selecteert u de VM('s) in de bovenste tabel vm's zonder Azure-voordelen en selecteert u Vervolgens Azure-voordelen voor VM's inschakelen.

Toegang tot Azure Benefits voor uw VM's beheren - Azure PowerShell

• Als u voordelen voor geselecteerde VM's wilt inschakelen, voert u de volgende opdracht uit op uw Azure Stack HCI-cluster:

  Add-AzStackHCIVMAttestation [-VMName]
  

  Als u alle bestaande VM's wilt toevoegen, voert u de volgende opdracht uit:

  Add-AzStackHCIVMAttestation -AddAll
  

• Als u wilt controleren of de VM's toegang hebben tot Azure Benefits op de host, voert u de volgende opdracht uit op de VM:

  Invoke-RestMethod -Headers @{"Metadata"="true"} -Method GET -Uri "http://169.254.169.253:80/metadata/attested/document?api-version=2018-10-01"
  

Problemen oplossen via Het Windows-beheercentrum

• Azure Benefits in uw cluster uitschakelen en opnieuw instellen:
  • Selecteer Op het tabblad Cluster de optie Azure-voordelen uitschakelen.
• Toegang tot Azure Benefits voor VM's verwijderen:
  • Selecteer op het tabblad VM('s) in de bovenste tabel-VM's zonder Azure-voordelen en selecteer Vervolgens Azure-voordelen inschakelen voor VM's.
• Op het tabblad Cluster worden een of meer servers weergegeven als Verlopen:
  • Als Azure-voordelen voor een of meer servers langer dan 30 dagen niet zijn gesynchroniseerd met Azure, wordt deze weergegeven als Verlopen of Inactief. Selecteer Synchroniseren met Azure om een handmatige synchronisatie te plannen.
• Op het tabblad VM worden de voordelen van de hostserver weergegeven als Onbekend of Inactief:
  • U kunt Azure Benefits voor VM's niet toevoegen of verwijderen op deze hostservers. Ga naar het tabblad Cluster om Azure-voordelen voor hostservers met fouten op te lossen en probeer vervolgens opnieuw VM's te beheren.

Problemen oplossen via PowerShell

• Voer de volgende opdracht uit om Azure Benefits in uw cluster uit te schakelen en opnieuw in te stellen:

  Disable-AzStackHCIAttestation -RemoveVM
  

• Toegang tot Azure Benefits voor geselecteerde VM's verwijderen:

  Remove-AzStackHCIVMAttestation -VMName <string>
  

  Of als u de toegang voor alle bestaande VM's wilt verwijderen:

  Remove-AzStackHCIVMAttestation -RemoveAll
  

• Als Azure-voordelen voor een of meer servers nog niet zijn gesynchroniseerd en vernieuwd met Azure, kan deze worden weergegeven als Verlopen of Inactief. Een handmatige synchronisatie plannen:

  Sync-AzureStackHCI
  

• Als een server nieuw is toegevoegd en nog niet is ingesteld met Azure Benefits, kan deze worden weergegeven als Inactief. Voer setup opnieuw uit om de nieuwe server toe te voegen:

  Enable-AzStackHCIAttestation
  

Veelgestelde vragen

Deze veelgestelde vragen bevatten antwoorden op enkele vragen over het gebruik van Azure Benefits.

Welke exclusieve Azure-workloads kan ik inschakelen met Azure Benefits?

Zie hier de volledige lijst.

Kost het iets om Azure-voordelen in te schakelen?

Nee, als u Azure Benefits inschakelt, worden er geen extra kosten in rekening gebracht.

Kan ik Azure Benefits gebruiken in andere omgevingen dan Azure Stack HCI?

Nee, Azure Benefits is een functie die is ingebouwd in het Azure Stack HCI-besturingssysteem en kan alleen worden gebruikt in Azure Stack HCI.

Ik heb Azure Benefits ingesteld voor mijn cluster. Hoe kan ik ervoor zorgen dat Azure Benefits actief blijft?

• In de meeste gevallen is er geen gebruikersactie vereist. Azure Stack HCI vernieuwt automatisch Azure Benefits wanneer deze wordt gesynchroniseerd met Azure.
• Als het cluster echter langer dan 30 dagen wordt verbroken en Azure-voordelen worden weergegeven als Verlopen, kunt u handmatig synchroniseren met behulp van PowerShell en Het Windows-beheercentrum. Zie Azure Stack HCI synchroniseren voor meer informatie.

Wat gebeurt er wanneer ik nieuwe VM's implementeer of VM's verwijder?

• Wanneer u nieuwe VM's implementeert waarvoor Azure Benefits is vereist, kunt u handmatig nieuwe VM's toevoegen voor toegang tot Azure Benefits met behulp van het Windows-beheercentrum of PowerShell met behulp van de voorgaande instructies.
• U kunt vm's nog steeds zoals gebruikelijk verwijderen en migreren. De NIC AZSHCI_GUEST-IMDS_DO_NOT_MODIFY bestaat nog steeds op de VIRTUELE machine na de migratie. Als u de NIC vóór de migratie wilt opschonen, kunt u VM's verwijderen uit Azure Benefits met behulp van het Windows-beheercentrum of PowerShell met behulp van de voorgaande instructies, of u kunt NIC's daarna eerst migreren en handmatig verwijderen.

Wat gebeurt er wanneer ik servers toevoeg of verwijder?

• Wanneer u een server toevoegt, kunt u naar de pagina Azure Benefits in het Windows-beheercentrum navigeren en wordt er een banner weergegeven met een koppeling naar inactieve server inschakelen.
• U kunt ook uitvoeren Enable-AzStackHCIAttestation [[-ComputerName] <String>] in PowerShell.
• U kunt servers nog steeds verwijderen of verwijderen uit het cluster zoals gebruikelijk. De vSwitch AZSHCI_HOST-IMDS_DO_NOT_MODIFY bestaat nog steeds op de server na verwijdering uit het cluster. U kunt deze laten staan als u van plan bent om de server later weer toe te voegen aan het cluster, of u kunt deze handmatig verwijderen.

Volgende stappen

• Uitgebreide beveiligingsupdates (ESU) in Azure Stack HCI
• Overzicht van Azure Stack HCI
• Veelgestelde vragen over Azure Stack HCI