Vertrouwde start implementeren voor Azure Arc-VM's op Azure Stack HCI, versie 23H2

Van toepassing op: Azure Stack HCI, versie 23H2

In dit artikel wordt beschreven hoe u trusted launch implementeert voor virtuele Azure Arc-machines (VM's) in Azure Stack HCI, versie 23H2.

Vereisten

Zorg ervoor dat u toegang hebt tot een Azure Stack HCI- versie 23H2-cluster dat is geïmplementeerd en geregistreerd bij Azure. Zie Implementeren met de Azure Portal voor meer informatie.

Een vertrouwde start-ARC-VM maken

U kunt een vertrouwde start-VM maken met behulp van Azure Portal of met behulp van Azure Command-Line Interface (CLI). Gebruik de onderstaande tabbladen om een methode te selecteren.

Azure-portal

Als u een vertrouwde start van een Arc-VM wilt maken in Azure Stack HCI, volgt u de stappen in Virtuele Arc-machines maken in Azure Stack HCI met behulp van Azure Portal, met de volgende wijzigingen:

1. Selecteer tijdens het maken van de virtuele machine Vertrouwde virtuele machines starten als beveiligingstype.

   

2. Selecteer een installatiekopieën van een VM-gastbesturingssystemen in de lijst met ondersteunde installatiekopieën:

   

3. Zodra een VM is gemaakt, gaat u naar de pagina VM-eigenschappen en controleert u of het weergegeven beveiligingstype Vertrouwd starten is.

   

Azure-CLI

Volg de stappen in Virtuele Arc-machines maken in Azure Stack HCI met behulp van Azure CLI om een vertrouwde start van een Arc-VM te maken in Azure Stack HCI, met de volgende wijzigingen:

1. Maak een VM-installatiekopieën met behulp van een ondersteunde installatiekopieën van het vm-gastbesturingssystemen door vertrouwd te starten vanuit Azure Marketplace. Zie Azure Stack HCI VM-installatiekopieën maken met behulp van Azure Marketplace voor meer informatie.

2. Maak als volgt een VIRTUELE machine met behulp van CLI:

   $vmName="<Name of the VM>" 
   $subscription="<Subscription ID associated with your cluster>" 
   $resourceGroup="<Resource group name for your cluster>" 
   $location="<Location for your Azure Stack HCI cluster>" 
   $customLocationID=(az customlocation show --resource-group $resource_group --name "<custom location name for HCI cluster>" --query id -o tsv) 
   $guestName="<Name of the guest>" 
   $userName="<Username for VM>" 
   $password="<Password for VM>" 
   $galleryImageName="<Name of VM guest image>" 
   $vNic="<Name of virtual network interface>" 
   
   az stack-hci-vm create --name $vmName --subscription $subscription --resource-group $resourceGroup --custom-location=$customLocationID --location $location --size="Default" --computer-name $guestName --admin-username $userName --admin-password $password --image $galleryImageName --nics $vNic --enable-secure-boot true --enable-vtpm true --security-type "TrustedLaunch"
   

   Voorbeelduitvoer:

   {
     "extendedLocation": {
       "name": "/subscriptions/myhci-sub/resourceGroups/myhci-rg/Microsoft.ExtendedLocation/customLocations/myhci-cl",
       "type": "CustomLocation"
     },
     "id": "/subscriptions/myhci-sub/resourceGroups/myhci-rg/providers/Microsoft.HybridCompute/machines/tvm1/providers/Microsoft.AzureStackHCI/virtualMachineInstances/default",
     "name": "default",
     "properties": {
       "hardwareProfile": {
         "dynamicMemoryConfig": {
           "maximumMemoryMb": null,
           "minimumMemoryMb": null,
           "targetMemoryBuffer": null
         },
         "memoryMb": 4096,
         "processors": 4,
         "vmSize": "Custom"
       },
       "instanceView": {
         "vmAgent": {
           "statuses": []
         }
       },
       "networkProfile": {
         "networkInterfaces": [
           {
             "id": "ram-nic"
           }
         ]
       },
       "osProfile": {
         "adminPassword": null,
         "adminUsername": "admin",
         "computerName": "myhci-tvm",
         "linuxConfiguration": {
           "disablePasswordAuthentication": null,
           "provisionVmAgent": false,
           "provisionVmConfigAgent": false,
           "ssh": {
             "publicKeys": null
           }
         },
         "windowsConfiguration": {
           "enableAutomaticUpdates": null,
           "provisionVmAgent": false,
           "provisionVmConfigAgent": false,
           "ssh": {
             "publicKeys": null
           },
           "timeZone": null
         }
       },
       "provisioningState": "Succeeded",
       "securityProfile": {
         "enableTpm": true,
         "securityType": "TrustedLaunch",
         "uefiSettings": {
           "secureBootEnabled": true
         }
       },
       "status": {
         "powerState": "Running"
       },
       "storageProfile": {
         "dataDisks": [],
         "imageReference": {
           "id": "/subscriptions/myhci-sub/resourceGroups/myhci-rg/providers/Microsoft.AzureStackHCI/marketplacegalleryimages/Win11EntMulti21H2",
           "resourceGroup": "myhci-rg"
         },
         "osDisk": {
           "id": null,
           "osType": "Windows"
         },
         "storagepathId": null
       },
       "vmId": "myhci-tvm-1234567890"
     },
     "resourceGroup": "myhci-rg",
     "systemData": {
       "createdAt": "2023-10-24T19:15:47.152610+00:00",
       "createdBy": "registration@contoso.com",
       "createdByType": "User",
       "lastModifiedAt": "2023-10-24T19:41:05.196469+00:00",
       "lastModifiedBy": "319f651f-7ddb-4fc6-9857-7aef9250bd05",
       "lastModifiedByType": "Application"
     },
     "tags": null,
     "type": "microsoft.azurestackhci/virtualmachineinstances"
   }
   

3. Zodra de VM is gemaakt, controleert u het beveiligingstype van de VM als Vertrouwd starten.

4. Voer de volgende cmdlet uit om het eigenaarsknooppunt van de VM te vinden:

   Get-ClusterGroup $vmName
   

5. Voer de volgende cmdlet uit op het eigenaarsknooppunt van de VM:

   (Get-VM $vmName).GuestStateIsolationType
   

6. Zorg ervoor dat de waarde TrustedLaunch wordt geretourneerd.

Voorbeeld

In dit voorbeeld ziet u een vertrouwde arc-VM die wordt gestart Windows 11 gast waarop BitLocker-versleuteling is ingeschakeld. Hier volgen de stappen voor het uitvoeren van het scenario:

1. Maak een vertrouwde start arc-VM met een ondersteund Windows 11 gastbesturingssysteem.

2. BitLocker-versleuteling inschakelen voor het volume van het besturingssysteem op de Win 11-gast.

   Meld u aan bij de Windows 11 gast en schakel BitLocker-versleuteling in (voor het besturingssysteemvolume): typ BitLocker beheren in het zoekvak op de taakbalk en selecteer dit in de lijst met resultaten. Selecteer BitLocker inschakelen en volg de instructies voor het versleutelen van het besturingssysteemvolume (C:). BitLocker gebruikt vTPM als sleutelbeveiliging voor het besturingssysteemvolume.

3. Migreer de VM naar een ander knooppunt in het cluster. Voer de volgende PowerShell-opdracht uit:

   Move-ClusterVirtualMachineRole -Name $vmName -Node <destination node name> -MigrationType Shutdown
   

4. Controleer of het eigenaarsknooppunt van de VM het opgegeven doelknooppunt is:

   Get-ClusterGroup $vmName
   

5. Nadat de VM-migratie is voltooid, controleert u of de VM beschikbaar is en Of BitLocker is ingeschakeld.

6. Controleer of u zich kunt aanmelden bij de Windows 11 gast op de VIRTUELE machine en of BitLocker-versleuteling voor het besturingssysteemvolume ingeschakeld blijft. Als u dit kunt doen, bevestigt dit dat de vTPM-status is behouden tijdens de VM-migratie.

   Als de vTPM-status niet behouden blijft tijdens de migratie van de VM, zou het opstarten van de VM hebben geresulteerd in BitLocker-herstel tijdens het opstarten van de gast. Dat wil dat u om het BitLocker-herstelwachtwoord wordt gevraagd wanneer u zich probeerde aan te melden bij de Windows 11 gast. Dit komt doordat de opstartmetingen (opgeslagen in de vTPM) van de gemigreerde VM op het doelknooppunt afwijken van die van de oorspronkelijke VM.

7. Dwing de VM om een failover uit te voeren naar een ander knooppunt in het cluster.

   1. Bevestig het eigenaarsknooppunt van de VM met behulp van deze opdracht:

      Get-ClusterGroup $vmName
      

   2. Gebruik Failoverclusterbeheer om de clusterservice op het eigenaarsknooppunt als volgt te stoppen: Selecteer het eigenaarsknooppunt zoals weergegeven in Failoverclusterbeheer.  Selecteer in het rechterdeelvenster Actiesde optie Meer acties en selecteer vervolgens Clusterservice stoppen.

   3. Als u de clusterservice op het eigenaarsknooppunt stopt, wordt de VM automatisch gemigreerd naar een ander beschikbaar knooppunt in het cluster. Start de clusterservice daarna opnieuw op.

8. Nadat de failover is voltooid, controleert u of de VM beschikbaar is en Of BitLocker is ingeschakeld na de failover.

9. Controleer of het eigenaarsknooppunt van de VM het opgegeven doelknooppunt is:

   Get-ClusterGroup $vmName
   

Volgende stappen

• Beheer de beveiligingssleutel voor de gaststatus van de Arc-VM met vertrouwde start.