Verificação do Azure para VMs

> Aplica-se a: Azure Stack HCI, versão 23H2 e posterior.

O Microsoft Azure oferece uma variedade de cargas de trabalho e recursos diferenciados projetados para serem executados somente no Azure. O Azure Stack HCI estende muitos dos mesmos benefícios que você obtém do Azure, enquanto executa nos mesmos ambientes locais ou de borda familiares e de alto desempenho.

A verificação do Azure para VMs possibilita que cargas de trabalho exclusivas do Azure com suporte funcionem fora da nuvem. Esse recurso, modelado após o serviço de atestado do IMDS no Azure, é um serviço de atestado de plataforma interno habilitado por padrão no Azure Stack HCI 23H2 ou posterior. Ele ajuda a fornecer garantias para que essas VMs operem em outros ambientes do Azure.

Para obter mais informações sobre a versão anterior desse recurso no Azure Stack HCI, versão 22H2 ou anterior, consulte Benefícios do Azure no Azure Stack HCI.

Benefícios disponíveis no Azure Stack HCI

A verificação do Azure para VM permite que você use esses benefícios disponíveis apenas no Azure Stack HCI:

Carga de trabalho	O que é isso?	Como obter benefícios
ESUs (Atualização de Segurança Estendida)	Obtenha atualizações de segurança sem custo adicional para VMs do SQL e do Windows Server de fim de suporte no Azure Stack HCI. Para obter mais informações, consulte ESU (Atualizações de Segurança Estendida Gratuita) no Azure Stack HCI.	Você deve habilitar o suporte ao sistema operacional herdado para VMs mais antigas que executam a versão Windows Server 2012 ou anteriores com o Atualizações de Pilha de Manutenção Mais Recente.
Área de Trabalho Virtual do Azure (AVD)	Os hosts de sessão do AVD só podem ser executados na infraestrutura do Azure. Ative suas VMs de várias sessões do Windows no Azure Stack HCI usando a verificação de VM do Azure. Os requisitos de licenciamento do AVD ainda se aplicam. Confira Preços da Área de Trabalho Virtual do Azure.	Ativado automaticamente para VMs que executam a versão Windows 11 várias sessões com atualização 4B lançada em 9 de abril de 2024 (22H2: KB5036893, 21H2: KB5036894) ou posterior. Você deve habilitar o suporte herdado do sistema operacional para VMs que executam a versão Windows 10 várias sessões com atualização 4B lançada em 9 de abril de 2024 KB5036892 ou posterior.
Windows Server Datacenter: Azure Edition	As VMs do Azure Edition só podem ser executadas na infraestrutura do Azure. Ative suas VMs do Windows Server Azure Edition e use as inovações mais recentes do Windows Server e outros recursos exclusivos. Os requisitos de licenciamento ainda se aplicam. Confira maneiras de licenciar VMs do Windows Server no Azure Stack HCI.	Ativado automaticamente para VMs que executam o Windows Server Azure Edition 2022 com atualização 4B lançada em 9 de abril de 2024 (KB5036909) ou posterior.
Configuração de convidado do Azure Policy	Obtenha Azure Policy configuração de convidado sem custo. Essa extensão do Arc permite a auditoria e a configuração das configurações do sistema operacional como código para servidores e VMs.	Agente arc versão 1.39 ou posterior. Confira a versão mais recente do agente do Arc.

Observação

Para garantir a funcionalidade contínua, atualize suas VMs no Azure Stack HCI para a atualização cumulativa mais recente até 17 de junho de 2024. Essa atualização é essencial para que as VMs continuem usando os benefícios do Azure. Confira a postagem no blog do Azure Stack HCI para obter mais informações.

Arquitetura

Esta seção é uma leitura opcional e explica mais sobre como a verificação de VM do Azure no Azure Stack HCI funciona "sob o capô".

A verificação de VM do Azure depende de um serviço de atestado de plataforma interno no Azure Stack HCI. Esse serviço é modelado após o mesmo serviço de Atestado do IMDS executado no Azure e retorna uma carga quase idêntica. A main diferença é que ele é executado localmente e, portanto, garante que as VMs estejam em execução no Azure Stack HCI em vez do Azure.

1. A verificação de VM do Azure é ativada por padrão com o Azure Stack HCI executando a versão 23H2 ou posterior. Durante a inicialização do servidor, o HciSvc gera um Serviço de Integração por meio de soquetes do Hyper-V, ou seja, (VMBus) para facilitar a comunicação segura entre VMs e servidores.

   Suporte ao sistema operacional herdado: cargas de trabalho que não podem fazer chamadas à API do Win32 ou consultar diretamente um serviço de integração devem habilitar o suporte ao sistema operacional herdado. Essa configuração fornece um ponto de extremidade REST privado e não existente para VMs no mesmo servidor.

   Para habilitar esse ponto de extremidade, um vSwitch interno é configurado no servidor Azure Stack HCI (chamado AZSHCI_HOST-IMDS_DO_NOT_MODIFY). Depois disso, as VMs devem ter uma NIC configurada (AZSHCI_GUEST-IMDS_DO_NOT_MODIFY) e anexadas ao mesmo vSwitch.

   Observação

   Modificar ou excluir essa opção e a NIC impede que a verificação de VM do Azure funcione corretamente. Se você encontrar erros, tente desativar e, em seguida, ative o suporte herdado do sistema operacional.

2. Sempre que o Azure Stack HCI é sincronizado com o Azure, o HciSvc obtém um certificado do Azure e o armazena com segurança em um enclave em cada servidor.

   Observação

   Os certificados são renovados sempre que o cluster do Azure Stack HCI é sincronizado com o Azure e cada renovação é válida por 30 dias. Desde que você mantenha os requisitos habituais de conectividade de 30 dias para o Azure Stack HCI, nenhuma ação do usuário é necessária para renovar certificados.

3. Para ativar benefícios, as cargas de trabalho do consumidor solicitam o atestado dos servidores. Eles tentam enviar solicitações por meio do Barramento de VM ou também podem consultar o ponto de extremidade REST usando os componentes de rede configurados no suporte herdado do sistema operacional. Ambas as abordagens para comunicação VM-server têm suporte e podem coexistir no mesmo cluster.

   Observação

   Ao usar o suporte ao sistema operacional herdado, você deve habilitar manualmente o acesso para VMs que exigem a ativação de benefícios.

   Em seguida, o HciSvc retorna uma resposta assinada usando o certificado do Azure armazenado. Os consumidores verificam a resposta e ativam os benefícios associados.

Gerenciar a verificação de VM do Azure

A verificação de VM do Azure é habilitada automaticamente por padrão no Azure Stack HCI 23H2 ou posterior. As instruções a seguir descrevem os pré-requisitos para usar esse recurso e as etapas para gerenciar benefícios (opcional).

Observação

Para habilitar as ESUs (Atualizações de Segurança Estendida), você deve fazer uma instalação adicional e ativar o suporte herdado do sistema operacional.

Pré-requisitos do host

• Verifique se você tem acesso a um sistema do Azure Stack HCI, versão 23H2. Todos os servidores devem estar online, registrados e implantados. Para obter mais informações, consulte Registrar seus servidores com o Arc e consulte Implantar por meio de portal do Azure.
• Instale o Hyper-V e o RSAT-Hyper-V-Tools.
• (Opcional) Se você estiver usando Windows Admin Center, deverá instalar a extensão do Gerenciador de Cluster (versão 2.319.0) ou posterior.

Pré-requisitos da VM

• Atualize suas VMs. Consulte os requisitos de versão para cargas de trabalho.

• Ative a Interface de Serviço convidado do Hyper-V. Consulte as instruções para Windows Admin Center ou para o PowerShell.

Você pode gerenciar a verificação de VM do Azure usando o Windows Admin Center ou o PowerShell ou exibir seus status usando a CLI do Azure ou o portal do Azure. As seções a seguir descrevem cada opção.

Windows Admin Center

Verificar status de servidor da verificação de VM do Azure

1. Em Windows Admin Center, selecione Gerenciador de Cluster no menu suspenso superior, navegue até o cluster que você deseja ativar e, em Configurações, selecione Verificação do Azure para VMs.

2. Para marcar servidor de verificação de VM do Azure status:

   • Status no nível do cluster: a status do host aparece como Ativada.

   • Status no nível do servidor: na guia Servidor no dashboard, marcar que o status para cada servidor é exibido como Ativo na tabela.

     

Solucionar problemas de servidores

• Na guia Servidor , se um ou mais servidores aparecerem como Expirados:
  • Se o servidor não tiver sincronizado com o Azure por mais de 30 dias, seu status será exibido como Expirado ou Inativo. Selecione Sincronizar com o Azure para agendar uma sincronização manual.

Gerenciar benefícios ativados em VMs

1. Para marcar quais benefícios são ativados em VMs, navegue até a guia VMs.

2. O dashboard mostra o número de VMs com:

   • Benefícios ativos: essas VMs têm recursos exclusivos do Azure ativados por meio da verificação de VM do Azure.
   • Benefícios inativos: essas VMs têm recursos exclusivos do Azure que precisam de mais ações antes da ativação.
   • Desconhecido: não é possível determinar os benefícios qualificados para essas VMs porque a troca de dados do Hyper-V está desativada. Consulte a seção de solução de problemas a seguir.
   • Nenhum benefício aplicável: essas VMs não têm recursos exclusivos do Azure e, portanto, não exigem verificação de VM do Azure.

3. A tabela exibe o benefício Qualificado aplicável a cada VM. Confira a lista completa de benefícios disponíveis no Azure Stack HCI.

   

Solucionar problemas de VMs

• Na guia VMs , se uma ou mais VMs aparecerem como benefícios inativos:

  • Se a ação sugerida for Instalar atualizações, talvez você não tenha a versão mínima do sistema operacional necessária para o benefício. Atualize a VM para atender aos requisitos de versão das cargas de trabalho.
  • Se a ação sugerida for Ativar a Interface do Serviço convidado, selecione-a e abra o painel de contexto para habilitar a Interface de Serviço convidado do Hyper-V. Esse recurso é necessário para que as VMs se comuniquem com o host via VMbus.
  • Se a ação sugerida for relacionada ao suporte herdado do sistema operacional, consulte solução de problemas para suporte herdado do sistema operacional.

• Na guia VMs , se uma ou mais VMs aparecerem como Desconhecidas:

  • Se você quiser determinar os benefícios disponíveis para essas VMs, poderá fazer isso manualmente verificando a lista completa de benefícios disponíveis no Azure Stack HCI ou Windows Admin Center pode exibir essas informações. Para acessar as informações por meio de Windows Admin Center, habilite a KVP (troca de dados) do Hyper-V para suas VMs selecionando a ação rotulada Ativar a troca de dados do Hyper-V.

PowerShell

Verificar status de servidor da verificação de VM do Azure

• Quando a configuração de verificação de VM do Azure for bem-sucedida, você poderá exibir o host status. Verifique a propriedade de cluster Atestado IMDS executando o seguinte comando:

  Get-AzureStackHCI
  

• Ou, para exibir a verificação de VM do Azure status para servidores, execute o seguinte comando:

  Get-AzureStackHCIAttestation [[-ComputerName] <string>]
  

Solucionar problemas de servidores

• Se a verificação de VM do Azure para um ou mais servidores ainda não estiver sincronizada e renovada com o Azure, ela poderá aparecer como Expirada ou Inativa. Agendar uma sincronização manual:

  Sync-AzureStackHCI
  

Gerenciar benefícios ativados em VMs

• Para marcar acesso à verificação de VM do Azure para VMs, execute o seguinte comando:

  Get-AzStackHCIVMAttestation
  

  Observação

  Uma VM com suporte para v2 pode se comunicar com o servidor usando o VMBus. Por outro lado, uma VM com suporte v1 é configurada com suporte herdado do sistema operacional e pode acessar a verificação de VM do Azure por meio de REST. Se uma VM for compatível com v1 e v2, o método v2 (ou seja, VMBus) será usado principalmente, mas poderá voltar para v1 se v2 encontrar um problema.

Solucionar problemas de VMs

• Para configurar o acesso à verificação de VM do Azure para VMs, você pode habilitar a Interface de Serviço convidado do Hyper-V.

  Para marcar que a Interface de Serviço convidado do Hyper-V esteja habilitada, execute:

  Get-VMIntegrationService [[-VMName] <VMName>] -Name "Guest Service Interface"
  

• Para ativar a Interface de Serviço convidado do Hyper-V:

  Enable-VMIntegrationService [[-VMName] <VMName>] -Name "Guest Service Interface"
  

• Para marcar que as VMs possam acessar a verificação da VM do Azure no host, execute o seguinte comando no host:

  Invoke-RestMethod -Headers @{"Metadata"="true"} -Method GET -Uri "http://127.0.0.1:42542/metadata/attested/document?api-version=2018-10-01" –usedefaultcredentials
  

Azure portal

1. Na página de recursos do cluster do Azure Stack HCI, navegue até a guia Configuração .

2. No recurso Verificação do Azure para VMs, exiba o atestado de host status.

   

CLI do Azure

A CLI do Azure está disponível para instalação em ambientes Windows, macOS e Linux. Ele também pode ser executado no Azure Cloud Shell. Esta seção descreve como usar o Bash no Cloud Shell do Azure. Para obter mais informações, confira Início Rápido para Azure Cloud Shell.

Inicie o Azure Cloud Shell e use a CLI do Azure para marcar verificação de VM do Azure seguindo estas etapas:

1. Configurar parâmetros de sua assinatura, grupo de recursos e nome do cluster

   subscription="00000000-0000-0000-0000-000000000000" # Replace with your subscription ID
   resourceGroup="hcicluster-rg" # Replace with your resource group name
   clusterName="HCICluster" # Replace with your cluster name
   
   az account set --subscription "${subscription}"
   

2. Para exibir a verificação de VM do Azure status em um cluster, execute o seguinte comando:

   az stack-hci cluster list \
   --resource-group "${resourceGroup}" \
   --query "[?name=='${clusterName}'].{Name:name, AzureBenefitsHostAttestation:reportedProperties.imdsAttestation}" \
   -o table
   

Suporte ao sistema operacional herdado

Para VMs mais antigas que não têm a funcionalidade necessária do Hyper-V (Interface de Serviço convidado) para se comunicar diretamente com o host, você deve configurar componentes de rede tradicionais para verificação de VM do Azure. Se você tiver essas cargas de trabalho, como ESUs (Atualizações de Segurança Estendida), siga as instruções nesta seção para configurar o suporte herdado do sistema operacional.

Windows Admin Center

1. Ativar o suporte herdado do sistema operacional no host

1. Em Windows Admin Center, selecione Gerenciador de Cluster no menu suspenso superior, navegue até o cluster que você deseja ativar e, em Configurações, selecione Verificações do Azure para VMs.

2. Na seção para suporte ao sistema operacional herdado, selecione Alterar status. Selecione Ativado no painel de contexto. Essa configuração também permite o acesso à rede para todas as VMs existentes. Você deve ativar manualmente o suporte do sistema operacional herdado para todas as novas VMs criadas posteriormente.

3. Selecione Alterar status para confirmar. Pode levar alguns minutos para os servidores refletirem as alterações.

4. Quando o suporte ao sistema operacional herdado é ativado com êxito:

   • Verifique se o suporte ao sistema operacional herdado aparece como Ativado.

   • Na guia Servidor no dashboard, marcar esse suporte herdado do sistema operacional para cada servidor é mostrado como Ativado na tabela.

     

2. Habilitar o acesso para novas VMs

Você deve habilitar a rede do sistema operacional herdada para todas as novas VMs criadas após a primeira configuração. Para gerenciar o acesso para VMs, navegue até a guia VMs . Qualquer VM que exija acesso de suporte ao sistema operacional herdado aparecerá como Inativa. Selecione a ação para Configurar a rede do sistema operacional herdada para a VM selecionada ou para todas as VMs existentes no cluster.

Observação

Para habilitar com êxito o suporte do sistema operacional herdado em VMs de Geração 1, a VM deve primeiro ser desligada para permitir que a NIC seja adicionada.

PowerShell

1. Ativar o suporte herdado do sistema operacional no host

• Execute o seguinte comando em uma janela elevada do PowerShell no cluster do Azure Stack HCI:

  Enable-AzStackHCIAttestation
  

• Ou, se você quiser adicionar todas as VMs existentes na instalação, poderá executar o seguinte comando:

  Enable-AzStackHCIAttestation -AddVM
  

• Verifique se o suporte herdado do sistema operacional está ativado:

  Get-AzureStackHCIAttestation [[-ComputerName] <string>]
  

Solucionar problemas de servidores

• Para desativar e redefinir o suporte herdado do sistema operacional em seu cluster, execute o seguinte comando:

  Disable-AzStackHCIAttestation -RemoveVM
  

2. Habilitar o acesso para VMs

• Para configurar o acesso à rede para VMs selecionadas, execute o seguinte comando no cluster do Azure Stack HCI:

  Add-AzStackHCIVMAttestation [-VMName]
  

• Ou, para adicionar todas as VMs existentes, execute o seguinte comando:

  Add-AzStackHCIVMAttestation -AddAll
  

• Obtenha a lista de VMs que têm acesso ao suporte herdado do sistema operacional:

  Get-AzStackHCIVMAttestation
  

  Observação

  Para habilitar com êxito o suporte do sistema operacional herdado em VMs de Geração 1, a VM deve primeiro ser desligada para permitir que a NIC seja adicionada.

Solucionar problemas de VMs

• Para remover o acesso ao suporte herdado do sistema operacional para VMs selecionadas:

  Remove-AzStackHCIVMAttestation -VMName <string>
  

  Ou, para remover o acesso para todas as VMs existentes:

  Remove-AzStackHCIVMAttestation -RemoveAll
  

• Para marcar que as VMs possam acessar o suporte herdado do sistema operacional no host, execute o seguinte comando na VM:

  Invoke-RestMethod -Headers @{"Metadata"="true"} -Method GET -Uri http://169.254.169.253:80/metadata/attested/document?api-version=2018-10-01
  

Azure portal

Não é possível exibir o suporte herdado do sistema operacional do portal do Azure no momento.

CLI do Azure

A CLI do Azure está disponível para instalação em ambientes Windows, macOS e Linux. Ele também pode ser executado no Azure Cloud Shell. Esta seção descreve como usar o Bash no Cloud Shell do Azure. Para obter mais informações, consulte o Início Rápido para o Cloud Shell do Azure.

Inicie a Cloud Shell do Azure e use a CLI do Azure para marcar verificação de VM do Azure seguindo estas etapas:

1. Configure parâmetros de sua assinatura, grupo de recursos e nome do cluster:

   subscription="00000000-0000-0000-0000-000000000000" # Replace with your subscription ID
   resourceGroup="hcicluster-rg" # Replace with your resource group name
   clusterName="HCICluster" # Replace with your cluster name
   
   az account set --subscription "${subscription}"
   

2. Para exibir o suporte do sistema operacional herdado status em um cluster, execute o seguinte comando:

   az stack-hci cluster list \
   --resource-group "${resourceGroup}" \
   --query "[?name=='${clusterName}'].{Name:name, AzureBenefitsHostAttestation:reportedProperties.supportedCapabilities}" \
   -o table
   

Perguntas frequentes

Esta seção fornece respostas para algumas perguntas frequentes sobre como usar os Benefícios do Azure.

Quais cargas de trabalho exclusivas do Azure posso habilitar com a verificação de VM do Azure?

Veja a lista completa aqui.

Custa alguma coisa habilitar a verificação de VM do Azure?

Não. Ativar a verificação de VM do Azure não incorre em taxas extras.

Posso usar a verificação de VM do Azure em ambientes diferentes do Azure Stack HCI?

Não. A verificação de VM do Azure é um recurso interno do sistema operacional do Azure Stack HCI e só pode ser usada no Azure Stack HCI.

Se acabei de atualizar para 23H2 de 22H2 e ativei anteriormente o recurso benefícios do Azure, preciso fazer algo novo?

Se você atualizou um cluster que anteriormente tinha os Benefícios do Azure no Azure Stack HCI configurados para suas cargas de trabalho, não será necessário fazer nada ao atualizar para o 23H2. Quando você atualiza, o recurso permanece habilitado e o suporte ao sistema operacional herdado também é ativado. No entanto, se você quiser usar uma maneira aprimorada de fazer a comunicação VM para host por meio do Barramento de VM em 23H2, verifique se você tem os pré-requisitos de host necessários e os pré-requisitos da VM.

Acabei de configurar a verificação de VM do Azure no meu cluster. Como fazer garantir que a verificação da VM do Azure permaneça ativa?

• Na maioria dos casos, não é necessária nenhuma ação do usuário. O Azure Stack HCI renova automaticamente a verificação de VM do Azure quando sincroniza com o Azure.
• No entanto, se o cluster se desconectar por mais de 30 dias e a verificação da VM do Azure aparecer como Expirada, você poderá sincronizar manualmente usando o PowerShell e Windows Admin Center. Para obter mais informações, consulte sincronizando o Azure Stack HCI.

O que acontece quando eu implantar novas VMs ou excluir VMs?

• Quando você implanta novas VMs que exigem verificação de VM do Azure, elas são ativadas automaticamente se tiverem os pré-requisitos corretos da VM.

• No entanto, para VMs herdadas que usam o suporte do sistema operacional herdado, você pode adicionar manualmente novas VMs para acessar a verificação de VM do Azure usando Windows Admin Center ou PowerShell, usando as instruções anteriores.

• Você ainda pode excluir e migrar VMs como de costume. A nic AZSHCI_GUEST-IMDS_DO_NOT_MODIFY ainda existe na VM após a migração. Para limpo a NIC antes da migração, você pode remover VMs da verificação de VM do Azure usando o Windows Admin Center ou o PowerShell usando as instruções anteriores para suporte herdado do sistema operacional ou pode migrar primeiro e excluir manualmente as NICs posteriormente.

O que acontece quando eu adiciono ou removo servidores?

• Quando você adiciona um servidor, ele é ativado automaticamente se ele tem os pré-requisitos de Host corretos.
• Se você estiver usando o suporte herdado do sistema operacional, talvez seja necessário habilitar manualmente esses servidores. Execute Enable-AzStackHCIAttestation [[-ComputerName] <String>] no PowerShell. Você ainda pode excluir servidores ou removê-los do cluster como de costume. O AZSHCI_HOST-IMDS_DO_NOT_MODIFY vSwitch ainda existe no servidor após a remoção do cluster. Você pode deixá-lo se estiver planejando adicionar o servidor de volta ao cluster mais tarde ou pode removê-lo manualmente.

Próximas etapas

• ESU (atualizações de segurança estendidas) no Azure Stack HCI
• Visão geral do Azure Stack HCI
• Perguntas frequentes sobre o Azure Stack HCI