Implantar inicialização confiável para VMs do Azure Arc no Azure Stack HCI, versão 23H2

Aplica-se a: Azure Stack HCI, versão 23H2

Este artigo descreve como implantar a inicialização confiável para VMs (máquinas virtuais) do Azure Arc no Azure Stack HCI, versão 23H2.

Pré-requisitos

Verifique se você tem acesso a um cluster do Azure Stack HCI versão 23H2 implantado e registrado no Azure. Para obter mais informações, consulte implantar usando o portal do Azure.

Criar uma VM do Arc de inicialização confiável

Você pode criar uma VM de inicialização confiável usando portal do Azure ou usando a CLI (Interface de Command-Line) do Azure. Use as guias abaixo para selecionar um método.

Azure portal

Para criar uma VM arc de inicialização confiável no Azure Stack HCI, siga as etapas em Criar máquinas virtuais do Arc no Azure Stack HCI usando portal do Azure, com as seguintes alterações:

1. Ao criar a VM, selecione Máquinas virtuais de inicialização confiáveis para o tipo de segurança.

   

2. Selecione uma imagem do sistema operacional convidado da VM na lista de imagens com suporte:

   

3. Depois que uma VM for criada, vá para a página de propriedades da VM e verifique se o tipo de segurança mostrado é Inicialização confiável.

   

CLI do Azure

Para criar uma VM arc de inicialização confiável no Azure Stack HCI, siga as etapas em Criar máquinas virtuais do Arc no Azure Stack HCI usando a CLI do Azure, com as seguintes alterações:

1. Crie uma imagem de VM usando uma imagem de so convidado de VM com suporte por Inicialização confiável de Azure Marketplace. Para obter mais informações, consulte Criar imagem de VM do Azure Stack HCI usando Azure Marketplace.

2. Crie uma VM usando a CLI da seguinte maneira:

   $vmName="<Name of the VM>" 
   $subscription="<Subscription ID associated with your cluster>" 
   $resourceGroup="<Resource group name for your cluster>" 
   $location="<Location for your Azure Stack HCI cluster>" 
   $customLocationID=(az customlocation show --resource-group $resource_group --name "<custom location name for HCI cluster>" --query id -o tsv) 
   $guestName="<Name of the guest>" 
   $userName="<Username for VM>" 
   $password="<Password for VM>" 
   $galleryImageName="<Name of VM guest image>" 
   $vNic="<Name of virtual network interface>" 
   
   az stack-hci-vm create --name $vmName --subscription $subscription --resource-group $resourceGroup --custom-location=$customLocationID --location $location --size="Default" --computer-name $guestName --admin-username $userName --admin-password $password --image $galleryImageName --nics $vNic --enable-secure-boot true --enable-vtpm true --security-type "TrustedLaunch"
   

   Saída de exemplo:

   {
     "extendedLocation": {
       "name": "/subscriptions/myhci-sub/resourceGroups/myhci-rg/Microsoft.ExtendedLocation/customLocations/myhci-cl",
       "type": "CustomLocation"
     },
     "id": "/subscriptions/myhci-sub/resourceGroups/myhci-rg/providers/Microsoft.HybridCompute/machines/tvm1/providers/Microsoft.AzureStackHCI/virtualMachineInstances/default",
     "name": "default",
     "properties": {
       "hardwareProfile": {
         "dynamicMemoryConfig": {
           "maximumMemoryMb": null,
           "minimumMemoryMb": null,
           "targetMemoryBuffer": null
         },
         "memoryMb": 4096,
         "processors": 4,
         "vmSize": "Custom"
       },
       "instanceView": {
         "vmAgent": {
           "statuses": []
         }
       },
       "networkProfile": {
         "networkInterfaces": [
           {
             "id": "ram-nic"
           }
         ]
       },
       "osProfile": {
         "adminPassword": null,
         "adminUsername": "admin",
         "computerName": "myhci-tvm",
         "linuxConfiguration": {
           "disablePasswordAuthentication": null,
           "provisionVmAgent": false,
           "provisionVmConfigAgent": false,
           "ssh": {
             "publicKeys": null
           }
         },
         "windowsConfiguration": {
           "enableAutomaticUpdates": null,
           "provisionVmAgent": false,
           "provisionVmConfigAgent": false,
           "ssh": {
             "publicKeys": null
           },
           "timeZone": null
         }
       },
       "provisioningState": "Succeeded",
       "securityProfile": {
         "enableTpm": true,
         "securityType": "TrustedLaunch",
         "uefiSettings": {
           "secureBootEnabled": true
         }
       },
       "status": {
         "powerState": "Running"
       },
       "storageProfile": {
         "dataDisks": [],
         "imageReference": {
           "id": "/subscriptions/myhci-sub/resourceGroups/myhci-rg/providers/Microsoft.AzureStackHCI/marketplacegalleryimages/Win11EntMulti21H2",
           "resourceGroup": "myhci-rg"
         },
         "osDisk": {
           "id": null,
           "osType": "Windows"
         },
         "storagepathId": null
       },
       "vmId": "myhci-tvm-1234567890"
     },
     "resourceGroup": "myhci-rg",
     "systemData": {
       "createdAt": "2023-10-24T19:15:47.152610+00:00",
       "createdBy": "registration@contoso.com",
       "createdByType": "User",
       "lastModifiedAt": "2023-10-24T19:41:05.196469+00:00",
       "lastModifiedBy": "319f651f-7ddb-4fc6-9857-7aef9250bd05",
       "lastModifiedByType": "Application"
     },
     "tags": null,
     "type": "microsoft.azurestackhci/virtualmachineinstances"
   }
   

3. Depois que a VM for criada, verifique o tipo de segurança da VM como Inicialização confiável.

4. Execute o seguinte cmdlet para localizar o nó proprietário da VM:

   Get-ClusterGroup $vmName
   

5. Execute o seguinte cmdlet no nó proprietário da VM:

   (Get-VM $vmName).GuestStateIsolationType
   

6. Verifique se um valor de TrustedLaunch é retornado.

Exemplo

Este exemplo mostra uma VM arc de inicialização confiável executando Windows 11 convidado com a criptografia BitLocker habilitada. Aqui estão as etapas para exercer o cenário:

1. Crie uma VM arc de inicialização confiável executando um sistema operacional convidado Windows 11 com suporte.

2. Habilite a criptografia BitLocker para o volume do sistema operacional no convidado win 11.

   Entre no convidado Windows 11 e habilite a criptografia BitLocker (para o volume do sistema operacional): na caixa de pesquisa na barra de tarefas, digite Gerenciar BitLocker e selecione-o na lista de resultados. Selecione Ativar BitLocker e siga as instruções para criptografar o volume do sistema operacional (C:). O BitLocker usará o vTPM como um protetor de chave para o volume do sistema operacional.

3. Migre a VM para outro nó no cluster. Execute o seguinte comando do PowerShell:

   Move-ClusterVirtualMachineRole -Name $vmName -Node <destination node name> -MigrationType Shutdown
   

4. Confirme se o nó proprietário da VM é o nó de destino especificado:

   Get-ClusterGroup $vmName
   

5. Após a conclusão da migração da VM, verifique se a VM está disponível e se o BitLocker está habilitado.

6. Verifique se você pode fazer logon no Windows 11 convidado na VM e se a criptografia BitLocker para o volume do sistema operacional permanece habilitada. Se você puder fazer isso, isso confirmará que o estado do vTPM foi preservado durante a migração da VM.

   Se o estado do vTPM não fosse preservado durante a migração da VM, a inicialização da VM teria resultado na recuperação do BitLocker durante a inicialização do convidado. Ou seja, você teria sido solicitado a fornecer a senha de recuperação do BitLocker quando tentou fazer logon no convidado do Windows 11. Isso ocorreu porque as medidas de inicialização (armazenadas no vTPM) da VM migrada no nó de destino eram diferentes das da VM original.

7. Force a VM a fazer failover para outro nó no cluster.

   1. Confirme o nó proprietário da VM usando este comando:

      Get-ClusterGroup $vmName
      

   2. Use o Gerenciador de Cluster de Failover para interromper o serviço de cluster no nó proprietário da seguinte maneira: selecione o nó proprietário, conforme exibido no Gerenciador de Cluster de Failover.  No painel direito Ações , selecione Mais Ações e, em seguida, selecione Parar Serviço de Cluster.

   3. Parar o serviço de cluster no nó proprietário fará com que a VM seja migrada automaticamente para outro nó disponível no cluster. Reinicie o serviço de cluster posteriormente.

8. Após a conclusão do failover, verifique se a VM está disponível e se o BitLocker está habilitado após o failover.

9. Confirme se o nó proprietário da VM é o nó de destino especificado:

   Get-ClusterGroup $vmName
   

Próximas etapas

• Gerenciar a chave de proteção de estado convidado da VM do Arc de inicialização confiável.