Wdrażanie zaufanego uruchamiania maszyn wirtualnych usługi Azure Arc w usłudze Azure Stack HCI w wersji 23H2

Dotyczy: Azure Stack HCI, wersja 23H2

W tym artykule opisano sposób wdrażania zaufanego uruchamiania maszyn wirtualnych usługi Azure Arc w usłudze Azure Stack HCI w wersji 23H2.

Wymagania wstępne

Upewnij się, że masz dostęp do klastra usługi Azure Stack HCI w wersji 23H2 wdrożonego i zarejestrowanego na platformie Azure. Aby uzyskać więcej informacji, zobacz wdrażanie przy użyciu Azure Portal.

Tworzenie zaufanej maszyny wirtualnej usługi Arc do uruchamiania

Możesz utworzyć zaufaną maszynę wirtualną uruchamiania przy użyciu Azure Portal lub interfejsu platformy Azure Command-Line (CLI). Użyj poniższych kart, aby wybrać metodę.

Witryna Azure Portal

Aby utworzyć maszynę wirtualną Zaufane uruchamianie usługi Arc w usłudze Azure Stack HCI, wykonaj kroki opisane w temacie Tworzenie maszyn wirtualnych usługi Arc w usłudze Azure Stack HCI przy użyciu Azure Portal z następującymi zmianami:

1. Podczas tworzenia maszyny wirtualnej wybierz pozycję Zaufane uruchamianie maszyn wirtualnych dla typu zabezpieczeń.

   

2. Wybierz obraz systemu operacyjnego gościa maszyny wirtualnej z listy obsługiwanych obrazów:

   

3. Po utworzeniu maszyny wirtualnej przejdź do strony właściwości maszyny wirtualnej i sprawdź, czy wyświetlany typ zabezpieczeń to Zaufane uruchamianie.

   

Interfejs wiersza polecenia platformy Azure

Aby utworzyć zaufaną maszynę wirtualną usługi Arc do uruchamiania w usłudze Azure Stack HCI, wykonaj kroki opisane w artykule Create Arc virtual machines on Azure Stack HCI using Azure CLI (Tworzenie maszyn wirtualnych usługi Arc w usłudze Azure Stack HCI przy użyciu interfejsu wiersza polecenia platformy Azure) z następującymi zmianami:

1. Utwórz obraz maszyny wirtualnej przy użyciu obsługiwanego obrazu systemu operacyjnego gościa maszyny wirtualnej według zaufanego uruchamiania z Azure Marketplace. Aby uzyskać więcej informacji, zobacz Create Azure Stack HCI VM image using Azure Marketplace (Tworzenie obrazu maszyny wirtualnej rozwiązania Azure Stack HCI przy użyciu Azure Marketplace).

2. Utwórz maszynę wirtualną przy użyciu interfejsu wiersza polecenia w następujący sposób:

   $vmName="<Name of the VM>" 
   $subscription="<Subscription ID associated with your cluster>" 
   $resourceGroup="<Resource group name for your cluster>" 
   $location="<Location for your Azure Stack HCI cluster>" 
   $customLocationID=(az customlocation show --resource-group $resource_group --name "<custom location name for HCI cluster>" --query id -o tsv) 
   $guestName="<Name of the guest>" 
   $userName="<Username for VM>" 
   $password="<Password for VM>" 
   $galleryImageName="<Name of VM guest image>" 
   $vNic="<Name of virtual network interface>" 
   
   az stack-hci-vm create --name $vmName --subscription $subscription --resource-group $resourceGroup --custom-location=$customLocationID --location $location --size="Default" --computer-name $guestName --admin-username $userName --admin-password $password --image $galleryImageName --nics $vNic --enable-secure-boot true --enable-vtpm true --security-type "TrustedLaunch"
   

   Przykładowe dane wyjściowe:

   {
     "extendedLocation": {
       "name": "/subscriptions/myhci-sub/resourceGroups/myhci-rg/Microsoft.ExtendedLocation/customLocations/myhci-cl",
       "type": "CustomLocation"
     },
     "id": "/subscriptions/myhci-sub/resourceGroups/myhci-rg/providers/Microsoft.HybridCompute/machines/tvm1/providers/Microsoft.AzureStackHCI/virtualMachineInstances/default",
     "name": "default",
     "properties": {
       "hardwareProfile": {
         "dynamicMemoryConfig": {
           "maximumMemoryMb": null,
           "minimumMemoryMb": null,
           "targetMemoryBuffer": null
         },
         "memoryMb": 4096,
         "processors": 4,
         "vmSize": "Custom"
       },
       "instanceView": {
         "vmAgent": {
           "statuses": []
         }
       },
       "networkProfile": {
         "networkInterfaces": [
           {
             "id": "ram-nic"
           }
         ]
       },
       "osProfile": {
         "adminPassword": null,
         "adminUsername": "admin",
         "computerName": "myhci-tvm",
         "linuxConfiguration": {
           "disablePasswordAuthentication": null,
           "provisionVmAgent": false,
           "provisionVmConfigAgent": false,
           "ssh": {
             "publicKeys": null
           }
         },
         "windowsConfiguration": {
           "enableAutomaticUpdates": null,
           "provisionVmAgent": false,
           "provisionVmConfigAgent": false,
           "ssh": {
             "publicKeys": null
           },
           "timeZone": null
         }
       },
       "provisioningState": "Succeeded",
       "securityProfile": {
         "enableTpm": true,
         "securityType": "TrustedLaunch",
         "uefiSettings": {
           "secureBootEnabled": true
         }
       },
       "status": {
         "powerState": "Running"
       },
       "storageProfile": {
         "dataDisks": [],
         "imageReference": {
           "id": "/subscriptions/myhci-sub/resourceGroups/myhci-rg/providers/Microsoft.AzureStackHCI/marketplacegalleryimages/Win11EntMulti21H2",
           "resourceGroup": "myhci-rg"
         },
         "osDisk": {
           "id": null,
           "osType": "Windows"
         },
         "storagepathId": null
       },
       "vmId": "myhci-tvm-1234567890"
     },
     "resourceGroup": "myhci-rg",
     "systemData": {
       "createdAt": "2023-10-24T19:15:47.152610+00:00",
       "createdBy": "registration@contoso.com",
       "createdByType": "User",
       "lastModifiedAt": "2023-10-24T19:41:05.196469+00:00",
       "lastModifiedBy": "319f651f-7ddb-4fc6-9857-7aef9250bd05",
       "lastModifiedByType": "Application"
     },
     "tags": null,
     "type": "microsoft.azurestackhci/virtualmachineinstances"
   }
   

3. Po utworzeniu maszyny wirtualnej sprawdź typ zabezpieczeń maszyny wirtualnej jako Zaufane uruchamianie.

4. Uruchom następujące polecenie cmdlet, aby znaleźć węzeł właściciela maszyny wirtualnej:

   Get-ClusterGroup $vmName
   

5. Uruchom następujące polecenie cmdlet w węźle właściciela maszyny wirtualnej:

   (Get-VM $vmName).GuestStateIsolationType
   

6. Upewnij się, że zwracana jest wartość TrustedLaunch .

Przykład

W tym przykładzie przedstawiono maszynę wirtualną Zaufane uruchamianie usługi Arc z systemem Windows 11 gościa z włączonym szyfrowaniem funkcji BitLocker. W tym miejscu przedstawiono kroki wykonywania scenariusza:

1. Utwórz maszynę wirtualną Zaufane uruchamianie usługi Arc z obsługiwanym systemem operacyjnym gościa Windows 11.

2. Włącz szyfrowanie funkcją BitLocker dla woluminu systemu operacyjnego na gościu Win 11.

   Zaloguj się do gościa Windows 11 i włącz szyfrowanie funkcją BitLocker (dla woluminu systemu operacyjnego): w polu wyszukiwania na pasku zadań wpisz Zarządzaj funkcją BitLocker, a następnie wybierz go z listy wyników. Wybierz pozycję Włącz funkcję BitLocker , a następnie postępuj zgodnie z instrukcjami, aby zaszyfrować wolumin systemu operacyjnego (C:). Funkcja BitLocker będzie używać funkcji vTPM jako funkcji ochrony klucza dla woluminu systemu operacyjnego.

3. Migrowanie maszyny wirtualnej do innego węzła w klastrze. Uruchom następujące polecenie programu PowerShell:

   Move-ClusterVirtualMachineRole -Name $vmName -Node <destination node name> -MigrationType Shutdown
   

4. Upewnij się, że węzeł właściciela maszyny wirtualnej jest określonym węzłem docelowym:

   Get-ClusterGroup $vmName
   

5. Po zakończeniu migracji maszyny wirtualnej sprawdź, czy maszyna wirtualna jest dostępna, a funkcja BitLocker jest włączona.

6. Sprawdź, czy możesz zalogować się do gościa Windows 11 na maszynie wirtualnej, a szyfrowanie funkcją BitLocker dla woluminu systemu operacyjnego pozostaje włączone. Jeśli to zrobisz, potwierdza to, że stan vTPM został zachowany podczas migracji maszyny wirtualnej.

   Jeśli stan vTPM nie został zachowany podczas migracji maszyny wirtualnej, uruchomienie maszyny wirtualnej spowodowałoby odzyskiwanie funkcji BitLocker podczas rozruchu gościa. Oznacza to, że podczas próby zalogowania się do gościa Windows 11 zostanie wyświetlony monit o podanie hasła odzyskiwania funkcji BitLocker. Dzieje się tak, ponieważ pomiary rozruchu (przechowywane w maszynie wirtualnej vTPM) zmigrowanej maszyny wirtualnej w węźle docelowym różnią się od oryginalnej maszyny wirtualnej.

7. Wymuś przejście maszyny wirtualnej w tryb failover do innego węzła w klastrze.

   1. Potwierdź węzeł właściciela maszyny wirtualnej przy użyciu tego polecenia:

      Get-ClusterGroup $vmName
      

   2. Użyj Menedżera klastra trybu failover, aby zatrzymać usługę klastra w węźle właściciela w następujący sposób: wybierz węzeł właściciela, jak pokazano w Menedżerze klastra trybu failover.  W okienku po prawej stronie Akcje wybierz pozycję Więcej akcji , a następnie wybierz pozycję Zatrzymaj usługę klastra.

   3. Zatrzymanie usługi klastra w węźle właściciela spowoduje, że maszyna wirtualna zostanie automatycznie zmigrowana do innego dostępnego węzła w klastrze. Uruchom ponownie usługę klastra później.

8. Po zakończeniu pracy w trybie failover sprawdź, czy maszyna wirtualna jest dostępna, a funkcja BitLocker jest włączona po przejściu w tryb failover.

9. Upewnij się, że węzeł właściciela maszyny wirtualnej jest określonym węzłem docelowym:

   Get-ClusterGroup $vmName
   

Następne kroki

• Zarządzaj kluczem ochrony stanu gościa zaufanej maszyny wirtualnej usługi Arc.