Implantar o início confiável para VMs do Azure Arc no Azure Local, versão 23H2
Aplica-se a: Azure Local, versão 23H2
Este artigo descreve como implantar o lançamento confiável para VMs (máquinas virtuais) do Azure Arc no Azure Local, versão 23H2.
Pré-requisitos
Verifique se você tem acesso a um sistema Azure Local, versão 23H2, implantado e registrado no Azure. Para obter mais informações, consulte implantar usando o portal do Azure.
Criar uma VM do Arc de inicialização confiável
Você pode criar uma VM de inicialização confiável usando o portal do Azure ou usando a CLI (Interface de Linha de Comando) do Azure. Use as guias abaixo para selecionar um método.
Para criar uma VM do Arc de inicialização confiável no Azure Local, siga as etapas no portal Criar máquinas virtuais do Arc no Azure Local usando o Azure, com as seguintes alterações:
Ao criar a VM, selecione Máquinas virtuais de inicialização confiáveis para o tipo de segurança.
Selecione uma imagem do sistema operacional convidado da VM na lista de imagens suportadas:
Depois que uma VM for criada, vá para a página de propriedades da VM e verifique se o tipo de segurança mostrado é Inicialização confiável.
Exemplo
Este exemplo mostra uma VM do Arc de inicialização confiável executando o convidado do Windows 11 com a criptografia do BitLocker habilitada. Aqui estão as etapas para exercitar o cenário:
Crie uma VM Arc de inicialização confiável executando um sistema operacional convidado Windows 11 com suporte.
Habilite a criptografia do BitLocker para o volume do sistema operacional no convidado do Win 11.
Entre no convidado do Windows 11 e habilite a criptografia do BitLocker (para o volume do sistema operacional): na caixa de pesquisa na barra de tarefas, digite Gerenciar BitLocker e selecione-o na lista de resultados. Selecione Ativar o BitLocker e siga as instruções para criptografar o volume do sistema operacional (C:). O BitLocker usará o vTPM como um protetor de chave para o volume do sistema operacional.
Migre a VM para outro nó no cluster. Execute o seguinte comando do PowerShell:
Move-ClusterVirtualMachineRole -Name $vmName -Node <destination node name> -MigrationType Shutdown
Confirme se o nó proprietário da VM é o nó de destino especificado:
Get-ClusterGroup $vmName
Após a conclusão da migração da VM, verifique se a VM está disponível e se o BitLocker está habilitado.
Verifique se você pode fazer logon no convidado do Windows 11 na VM e se a criptografia do BitLocker para o volume do sistema operacional permanece habilitada. Se você puder fazer isso, isso confirmará que o estado do vTPM foi preservado durante a migração da VM.
Se o estado do vTPM não fosse preservado durante a migração da VM, a inicialização da VM resultaria na recuperação do BitLocker durante a inicialização do convidado. Ou seja, você teria sido solicitado a fornecer a senha de recuperação do BitLocker ao tentar fazer login no convidado do Windows 11. Isso ocorreu porque as medidas de inicialização (armazenadas no vTPM) da VM migrada no nó de destino eram diferentes das da VM original.
Force a VM a fazer failover para outro nó no cluster.
Confirme o nó proprietário da VM usando este comando:
Get-ClusterGroup $vmName
Use o Gerenciador de Cluster de Failover para interromper o serviço de cluster no nó proprietário da seguinte maneira: Selecione o nó proprietário conforme exibido no Gerenciador de Cluster de Failover. No painel direito Ações, selecione Mais Ações e, em seguida, selecione Parar Serviço de Cluster.
Interromper o serviço de cluster no nó proprietário fará com que a VM seja migrada automaticamente para outro nó disponível no cluster. Reinicie o serviço de cluster posteriormente.
Após a conclusão do failover, verifique se a VM está disponível e se o BitLocker está habilitado após o failover.
Confirme se o nó proprietário da VM é o nó de destino especificado:
Get-ClusterGroup $vmName
Próximas etapas
- Gerenciar chave de proteção de estado convidado da VM do Arc de inicialização confiável.