Wdrażanie zaufanego uruchamiania maszyn wirtualnych usługi Azure Arc w usłudze Azure Stack HCI w wersji 23H2
Dotyczy: Azure Stack HCI, wersja 23H2
W tym artykule opisano sposób wdrażania zaufanego uruchamiania maszyn wirtualnych usługi Azure Arc w usłudze Azure Stack HCI w wersji 23H2.
Wymagania wstępne
Upewnij się, że masz dostęp do klastra usługi Azure Stack HCI w wersji 23H2 wdrożonego i zarejestrowanego na platformie Azure. Aby uzyskać więcej informacji, zobacz wdrażanie przy użyciu Azure Portal.
Tworzenie zaufanej maszyny wirtualnej usługi Arc do uruchamiania
Możesz utworzyć zaufaną maszynę wirtualną uruchamiania przy użyciu Azure Portal lub interfejsu platformy Azure Command-Line (CLI). Użyj poniższych kart, aby wybrać metodę.
Aby utworzyć maszynę wirtualną Zaufane uruchamianie usługi Arc w usłudze Azure Stack HCI, wykonaj kroki opisane w temacie Tworzenie maszyn wirtualnych usługi Arc w usłudze Azure Stack HCI przy użyciu Azure Portal z następującymi zmianami:
Podczas tworzenia maszyny wirtualnej wybierz pozycję Zaufane uruchamianie maszyn wirtualnych dla typu zabezpieczeń.
Wybierz obraz systemu operacyjnego gościa maszyny wirtualnej z listy obsługiwanych obrazów:
Po utworzeniu maszyny wirtualnej przejdź do strony właściwości maszyny wirtualnej i sprawdź, czy wyświetlany typ zabezpieczeń to Zaufane uruchamianie.
Przykład
W tym przykładzie przedstawiono maszynę wirtualną Zaufane uruchamianie usługi Arc z systemem Windows 11 gościa z włączonym szyfrowaniem funkcji BitLocker. W tym miejscu przedstawiono kroki wykonywania scenariusza:
Utwórz maszynę wirtualną Zaufane uruchamianie usługi Arc z obsługiwanym systemem operacyjnym gościa Windows 11.
Włącz szyfrowanie funkcją BitLocker dla woluminu systemu operacyjnego na gościu Win 11.
Zaloguj się do gościa Windows 11 i włącz szyfrowanie funkcją BitLocker (dla woluminu systemu operacyjnego): w polu wyszukiwania na pasku zadań wpisz Zarządzaj funkcją BitLocker, a następnie wybierz go z listy wyników. Wybierz pozycję Włącz funkcję BitLocker , a następnie postępuj zgodnie z instrukcjami, aby zaszyfrować wolumin systemu operacyjnego (C:). Funkcja BitLocker będzie używać funkcji vTPM jako funkcji ochrony klucza dla woluminu systemu operacyjnego.
Migrowanie maszyny wirtualnej do innego węzła w klastrze. Uruchom następujące polecenie programu PowerShell:
Move-ClusterVirtualMachineRole -Name $vmName -Node <destination node name> -MigrationType Shutdown
Upewnij się, że węzeł właściciela maszyny wirtualnej jest określonym węzłem docelowym:
Get-ClusterGroup $vmName
Po zakończeniu migracji maszyny wirtualnej sprawdź, czy maszyna wirtualna jest dostępna, a funkcja BitLocker jest włączona.
Sprawdź, czy możesz zalogować się do gościa Windows 11 na maszynie wirtualnej, a szyfrowanie funkcją BitLocker dla woluminu systemu operacyjnego pozostaje włączone. Jeśli to zrobisz, potwierdza to, że stan vTPM został zachowany podczas migracji maszyny wirtualnej.
Jeśli stan vTPM nie został zachowany podczas migracji maszyny wirtualnej, uruchomienie maszyny wirtualnej spowodowałoby odzyskiwanie funkcji BitLocker podczas rozruchu gościa. Oznacza to, że podczas próby zalogowania się do gościa Windows 11 zostanie wyświetlony monit o podanie hasła odzyskiwania funkcji BitLocker. Dzieje się tak, ponieważ pomiary rozruchu (przechowywane w maszynie wirtualnej vTPM) zmigrowanej maszyny wirtualnej w węźle docelowym różnią się od oryginalnej maszyny wirtualnej.
Wymuś przejście maszyny wirtualnej w tryb failover do innego węzła w klastrze.
Potwierdź węzeł właściciela maszyny wirtualnej przy użyciu tego polecenia:
Get-ClusterGroup $vmName
Użyj Menedżera klastra trybu failover, aby zatrzymać usługę klastra w węźle właściciela w następujący sposób: wybierz węzeł właściciela, jak pokazano w Menedżerze klastra trybu failover. W okienku po prawej stronie Akcje wybierz pozycję Więcej akcji , a następnie wybierz pozycję Zatrzymaj usługę klastra.
Zatrzymanie usługi klastra w węźle właściciela spowoduje, że maszyna wirtualna zostanie automatycznie zmigrowana do innego dostępnego węzła w klastrze. Uruchom ponownie usługę klastra później.
Po zakończeniu pracy w trybie failover sprawdź, czy maszyna wirtualna jest dostępna, a funkcja BitLocker jest włączona po przejściu w tryb failover.
Upewnij się, że węzeł właściciela maszyny wirtualnej jest określonym węzłem docelowym:
Get-ClusterGroup $vmName