Verificação do Azure para VMs

> Aplica-se a: Azure Stack HCI, versão 23H2 e posterior.

O Microsoft Azure oferece uma gama de cargas de trabalho e capacidades diferenciadas concebidas para serem executadas apenas no Azure. O Azure Stack HCI expande muitas das mesmas vantagens que obtém do Azure, enquanto executa nos mesmos ambientes no local ou edge familiares e de elevado desempenho.

A verificação do Azure para VMs permite que as cargas de trabalho exclusivas do Azure suportadas funcionem fora da cloud. Esta funcionalidade, modelada após o serviço de atestado IMDS no Azure, é um serviço de atestado de plataforma incorporado que está ativado por predefinição no Azure Stack HCI 23H2 ou posterior. Ajuda a fornecer garantias para que estas VMs funcionem noutros ambientes do Azure.

Para obter mais informações sobre a versão anterior desta funcionalidade no Azure Stack HCI, versão 22H2 ou anterior, veja Benefícios do Azure no Azure Stack HCI.

Benefícios disponíveis no Azure Stack HCI

A verificação do Azure para VM permite-lhe utilizar estes benefícios disponíveis apenas no Azure Stack HCI:

Carga de trabalho	O que é	Como obter benefícios
Atualização de Segurança Alargada (ESUs)	Obtenha atualizações de segurança sem custos adicionais para VMs do SQL e do Windows Server de fim de suporte no Azure Stack HCI. Para obter mais informações, veja Atualizações de Segurança Alargada Gratuita (ESU) no Azure Stack HCI.	Tem de ativar o suporte do SO Legado para VMs mais antigas com a versão Windows Server 2012 ou anterior com a Pilha de Manutenção Mais Recente Atualizações.
Azure Virtual Desktop (AVD)	Os anfitriões de sessões do AVD só podem ser executados na infraestrutura do Azure. Ative as VMs de várias sessões do Windows no Azure Stack HCI com a verificação da VM do Azure. Os requisitos de licenciamento do AVD ainda se aplicam. Veja Preços do Azure Virtual Desktop.	Ativado automaticamente para VMs com a versão Windows 11 várias sessões com a atualização 4B lançada a 9 de abril de 2024 (22H2: KB5036893, 21H2: KB5036894) ou posterior. Tem de ativar o suporte de SO legado para VMs com a versão Windows 10 várias sessões com a atualização 4B lançada a 9 de abril de 2024 KB5036892 ou posterior.
Windows Server Datacenter: Edição do Azure	As VMs do Azure Edition só podem ser executadas na infraestrutura do Azure. Ative as VMs do Windows Server Azure Edition e utilize as mais recentes inovações do Windows Server e outras funcionalidades exclusivas. Os requisitos de licenciamento ainda se aplicam. Veja formas de licenciar VMs do Windows Server no Azure Stack HCI.	Ativado automaticamente para VMs com o Windows Server Azure Edition 2022 com a atualização 4B lançada a 9 de abril de 2024 (KB5036909) ou posterior.
Azure Policy configuração de convidado	Obtenha Azure Policy configuração de convidado sem custos. Esta extensão do Arc permite a auditoria e configuração das definições do SO como código para servidores e VMs.	Arc agent versão 1.39 ou posterior. Veja Versão mais recente do agente do Arc.

Nota

Para garantir a funcionalidade contínua, atualize as VMs no Azure Stack HCI para a atualização cumulativa mais recente até 17 de junho de 2024. Esta atualização é essencial para que as VMs continuem a utilizar os benefícios do Azure. Veja a mensagem de blogue do Azure Stack HCI para obter mais informações.

Arquitetura

Esta secção é uma leitura opcional e explica mais sobre como funciona a verificação da VM do Azure no Azure Stack HCI "nos bastidores".

A verificação da VM do Azure baseia-se num serviço de atestado de plataforma incorporado no Azure Stack HCI. Este serviço é modelado após o mesmo serviço de Atestado IMDS que é executado no Azure e devolve um payload quase idêntico. A principal diferença é que é executada no local e, por conseguinte, garante que as VMs estão em execução no Azure Stack HCI em vez do Azure.

1. A verificação da VM do Azure está ativada por predefinição com o Azure Stack HCI a executar a versão 23H2 ou posterior. Durante o arranque do servidor, o HciSvc gera um Serviço de Integração através de sockets Hyper-V, ou seja, (VMBus) para facilitar a comunicação segura entre VMs e servidores.

   Suporte do SO legado: as cargas de trabalho que não conseguem fazer chamadas à API Win32 ou consultar diretamente um serviço de integração têm de ativar o suporte do SO Legado. Esta definição fornece um ponto final REST privado e não redirecionável para VMs no mesmo servidor.

   Para ativar este ponto final, é configurado um vSwitch interno no servidor do Azure Stack HCI (denominado AZSHCI_HOST-IMDS_DO_NOT_MODIFY). Depois disso, as VMs têm de ter uma NIC configurada (AZSHCI_GUEST-IMDS_DO_NOT_MODIFY) e anexadas ao mesmo vSwitch.

   Nota

   Modificar ou eliminar este comutador e NIC impede que a verificação da VM do Azure funcione corretamente. Se encontrar erros, experimente desativar e, em seguida, voltar a ativar o suporte do SO legado.

2. Sempre que o Azure Stack HCI sincroniza com o Azure, o HciSvc obtém um certificado do Azure e armazena-o de forma segura num enclave em cada servidor.

   Nota

   Os certificados são renovados sempre que o cluster do Azure Stack HCI é sincronizado com o Azure e cada renovação é válida durante 30 dias. Desde que mantenha os requisitos habituais de conectividade de 30 dias para o Azure Stack HCI, não é necessária nenhuma ação do utilizador para renovar certificados.

3. Para ativar benefícios, as cargas de trabalho do consumidor pedem atestado aos servidores. Tentam enviar pedidos através do VM Bus ou também podem consultar o ponto final REST com os componentes de rede configurados no suporte de SO legado. Ambas as abordagens para a comunicação VM-servidor são suportadas e podem coexistir no mesmo cluster.

   Nota

   Ao utilizar o suporte de SO legado, tem de ativar manualmente o acesso a VMs que exijam a ativação de benefícios.

   Em seguida, o HciSvc devolve uma resposta assinada com o certificado do Azure que armazenou. Os consumidores verificam a resposta e ativam os benefícios associados.

Gerir a verificação da VM do Azure

A verificação da VM do Azure é ativada automaticamente por predefinição no Azure Stack HCI 23H2 ou posterior. As instruções seguintes descrevem os pré-requisitos para utilizar esta funcionalidade e os passos para gerir benefícios (opcional).

Nota

Para ativar o Atualizações de Segurança Alargada (ESUs), tem de efetuar uma configuração adicional e ativar o suporte de SO legado.

Pré-requisitos do anfitrião

• Confirme que tem acesso a um sistema do Azure Stack HCI, versão 23H2. Todos os servidores têm de estar online, registados e implementados em cluster. Para obter mais informações, veja Registar os servidores com o Arc e veja Implementar através de portal do Azure.
• Instale o Hyper-V e o RSAT-Hyper-V-Tools.
• (Opcional) Se estiver a utilizar Windows Admin Center, tem de instalar a extensão do Gestor de Clusters (versão 2.319.0) ou posterior.

Pré-requisitos da VM

• Certifique-se de que atualiza as VMs. Veja os requisitos de versão das cargas de trabalho.

• Ative a Interface de Serviço de Convidado do Hyper-V. Veja as instruções para Windows Admin Center ou para o PowerShell.

Pode gerir a verificação da VM do Azure com o Windows Admin Center ou o PowerShell ou ver o respetivo estado com a CLI do Azure ou o portal do Azure. As secções seguintes descrevem cada opção.

Windows Admin Center

Verificar o estado do servidor da verificação da VM do Azure

1. No Windows Admin Center, selecione Gestor de Clusters no menu pendente superior, navegue para o cluster que pretende ativar e, em seguida, em Definições, selecione Verificação do Azure para VMs.

2. Para verificar o estado do servidor de verificação da VM do Azure:

   • Estado ao nível do cluster: o estado do anfitrião é apresentado como Ativado.

   • Estado ao nível do servidor: no separador Servidor no dashboard, verifique se o estado de cada servidor é apresentado como Ativo na tabela.

     

Resolução de problemas de servidores

• No separador Servidor , se um ou mais servidores aparecerem como Expirados:
  • Se o servidor não sincronizar com o Azure há mais de 30 dias, o respetivo estado aparece como Expirado ou Inativo. Selecione Sincronizar com o Azure para agendar uma sincronização manual.

Gerir benefícios ativados em VMs

1. Para verificar que benefícios estão ativados nas VMs, navegue para o separador VMs .

2. O dashboard mostra o número de VMs com:

   • Benefícios ativos: estas VMs têm funcionalidades exclusivas do Azure ativadas através da verificação da VM do Azure.
   • Benefícios inativos: estas VMs têm funcionalidades exclusivas do Azure que precisam de mais ações antes da ativação.
   • Desconhecido: não conseguimos determinar os benefícios elegíveis para estas VMs porque a troca de dados do Hyper-V está desativada. Veja a seguinte secção de resolução de problemas.
   • Sem benefícios aplicáveis: estas VMs não têm funcionalidades exclusivas do Azure e, por conseguinte, não requerem a verificação da VM do Azure.

3. A tabela apresenta o benefício Elegível que é aplicável a cada VM. Veja a lista completa de benefícios disponíveis no Azure Stack HCI.

   

Resolver problemas de VMs

• No separador VMs , se uma ou mais VMs aparecerem como benefícios inativos:

  • Se a ação sugerida for Instalar atualizações, poderá não ter a versão mínima do SO necessária para o benefício. Atualize a VM para cumprir os requisitos de versão das cargas de trabalho.
  • Se a ação sugerida for ativar a Interface de Serviço Convidado, selecione-a e abra o painel de contexto para ativar a Interface de Serviço convidado do Hyper-V. Esta funcionalidade é necessária para que as VMs comuniquem com o anfitrião através do VMbus.
  • Se a ação sugerida estiver relacionada com o suporte legado do SO, veja Resolução de problemas do suporte do SO legado.

• No separador VMs , se uma ou mais VMs aparecerem como Desconhecidas:

  • Se quiser determinar os benefícios disponíveis para estas VMs, pode fazê-lo manualmente ao verificar a lista completa de benefícios disponíveis no Azure Stack HCI ou Windows Admin Center pode apresentar estas informações. Para aceder às informações através de Windows Admin Center, ative a troca de dados Hyper-V (KVP) para as suas VMs ao selecionar a ação com o nome Ativar troca de dados hyper-V.

PowerShell

Verificar o estado do servidor da verificação da VM do Azure

• Quando a configuração da verificação da VM do Azure for bem-sucedida, pode ver o estado do anfitrião. Verifique o Atestado IMDS da propriedade do cluster ao executar o seguinte comando:

  Get-AzureStackHCI
  

• Em alternativa, para ver o estado de verificação da VM do Azure para servidores, execute o seguinte comando:

  Get-AzureStackHCIAttestation [[-ComputerName] <string>]
  

Resolver problemas de servidores

• Se a verificação da VM do Azure para um ou mais servidores ainda não estiver sincronizada e renovada com o Azure, poderá aparecer como Expirada ou Inativa. Agendar uma sincronização manual:

  Sync-AzureStackHCI
  

Gerir benefícios ativados em VMs

• Para verificar o acesso à verificação de VMs do Azure para VMs, execute o seguinte comando:

  Get-AzStackHCIVMAttestation
  

  Nota

  Uma VM suportada para v2 pode comunicar com o servidor com o VMBus. Por outro lado, uma VM suportada v1 é configurada com suporte de SO legado e pode aceder à verificação da VM do Azure através de REST. Se uma VM suportar v1 e v2, o método v2 (ou seja, VMBus) é utilizado principalmente, mas pode reverter para v1 se a v2 encontrar um problema.

Resolver problemas de VMs

• Para configurar o acesso à verificação da VM do Azure para VMs, pode ativar a Interface de Serviço convidado do Hyper-V.

  Para verificar se a Interface de Serviço Convidado do Hyper-V está ativada, execute:

  Get-VMIntegrationService [[-VMName] <VMName>] -Name "Guest Service Interface"
  

• Para ativar a Interface de Serviço convidado do Hyper-V:

  Enable-VMIntegrationService [[-VMName] <VMName>] -Name "Guest Service Interface"
  

• Para verificar se as VMs podem aceder à verificação da VM do Azure no anfitrião, execute o seguinte comando no anfitrião:

  Invoke-RestMethod -Headers @{"Metadata"="true"} -Method GET -Uri "http://127.0.0.1:42542/metadata/attested/document?api-version=2018-10-01" –usedefaultcredentials
  

Portal do Azure

1. Na página de recursos do cluster do Azure Stack HCI, navegue para o separador Configuração .

2. Na funcionalidade Verificação do Azure para VMs, veja o estado do atestado do anfitrião.

   

CLI do Azure

A CLI do Azure está disponível para instalação em ambientes Windows, macOS e Linux. Também pode ser executado no Azure Cloud Shell. Esta secção descreve como utilizar o Bash no Azure Cloud Shell. Para obter mais informações, veja Início Rápido do Azure Cloud Shell.

Inicie o Azure Cloud Shell e utilize a CLI do Azure para verificar a verificação da VM do Azure ao seguir estes passos:

1. Configurar parâmetros a partir da sua subscrição, grupo de recursos e nome do cluster

   subscription="00000000-0000-0000-0000-000000000000" # Replace with your subscription ID
   resourceGroup="hcicluster-rg" # Replace with your resource group name
   clusterName="HCICluster" # Replace with your cluster name
   
   az account set --subscription "${subscription}"
   

2. Para ver o estado de verificação da VM do Azure num cluster, execute o seguinte comando:

   az stack-hci cluster list \
   --resource-group "${resourceGroup}" \
   --query "[?name=='${clusterName}'].{Name:name, AzureBenefitsHostAttestation:reportedProperties.imdsAttestation}" \
   -o table
   

Suporte do SO legado

Para VMs mais antigas que não tenham a funcionalidade de Hyper-V (Interface de Serviço convidado) necessária para comunicar diretamente com o anfitrião, tem de configurar os componentes de rede tradicionais para a verificação da VM do Azure. Se tiver estas cargas de trabalho, como Atualizações de Segurança Alargada (ESUs), siga as instruções nesta secção para configurar o suporte legado do SO.

Windows Admin Center

1. Ativar o suporte legado do SO no anfitrião

1. Em Windows Admin Center, selecione Gestor de Clusters no menu pendente superior, navegue para o cluster que pretende ativar e, em seguida, em Definições, selecione Verificações do Azure para VMs.

2. Na secção do suporte do SO legado, selecione Alterar estado. Selecione Ativado no painel de contexto. Esta definição também permite o acesso à rede para todas as VMs existentes. Tem de ativar manualmente o suporte do SO legado para quaisquer novas VMs que criar mais tarde.

3. Selecione Alterar estado para confirmar. Os servidores poderão demorar alguns minutos a refletir as alterações.

4. Quando o suporte do SO legado é ativado com êxito:

   • Verifique se o suporte do SO Legado é apresentado como Ativado.

   • No separador Servidor no dashboard, verifique se o suporte do SO legado para cada servidor é apresentado como Ativado na tabela.

     

2. Ativar o acesso para novas VMs

Tem de ativar a rede de SO legada para quaisquer novas VMs que criar após a primeira configuração. Para gerir o acesso de VMs, navegue para o separador VMs . Qualquer VM que necessite de acesso de suporte do SO legado é apresentada como Inativa. Selecione a ação para Configurar redes de SO legadas para a VM selecionada ou para todas as VMs existentes no cluster.

Nota

Para ativar com êxito o suporte de SO legado em VMs de Geração 1, a VM tem primeiro de ser desligada para permitir a adição do NIC.

PowerShell

1. Ativar o suporte legado do SO no anfitrião

• Execute o seguinte comando a partir de uma janela elevada do PowerShell no cluster do Azure Stack HCI:

  Enable-AzStackHCIAttestation
  

• Em alternativa, se quiser adicionar todas as VMs existentes na configuração, pode executar o seguinte comando:

  Enable-AzStackHCIAttestation -AddVM
  

• Verifique se o suporte do SO legado está ativado:

  Get-AzureStackHCIAttestation [[-ComputerName] <string>]
  

Resolver problemas de servidores

• Para desativar e repor o suporte do SO legado no cluster, execute o seguinte comando:

  Disable-AzStackHCIAttestation -RemoveVM
  

2. Ativar o acesso para VMs

• Para configurar o acesso à rede para VMs selecionadas, execute o seguinte comando no cluster do Azure Stack HCI:

  Add-AzStackHCIVMAttestation [-VMName]
  

• Em alternativa, para adicionar todas as VMs existentes, execute o seguinte comando:

  Add-AzStackHCIVMAttestation -AddAll
  

• Obtenha uma lista de VMs com acesso ao suporte legado do SO:

  Get-AzStackHCIVMAttestation
  

  Nota

  Para ativar com êxito o suporte de SO legado em VMs de Geração 1, a VM tem primeiro de ser desligada para permitir a adição do NIC.

Resolver problemas de VMs

• Para remover o acesso ao suporte legado do SO para VMs selecionadas:

  Remove-AzStackHCIVMAttestation -VMName <string>
  

  Em alternativa, para remover o acesso de todas as VMs existentes:

  Remove-AzStackHCIVMAttestation -RemoveAll
  

• Para verificar se as VMs podem aceder ao suporte legado do SO no anfitrião, execute o seguinte comando na VM:

  Invoke-RestMethod -Headers @{"Metadata"="true"} -Method GET -Uri http://169.254.169.253:80/metadata/attested/document?api-version=2018-10-01
  

Portal do Azure

De momento, não pode ver o suporte legado do SO a partir do portal do Azure.

CLI do Azure

A CLI do Azure está disponível para instalação em ambientes Windows, macOS e Linux. Também pode ser executado no Azure Cloud Shell. Esta secção descreve como utilizar o Bash no Azure Cloud Shell. Para obter mais informações, veja o Início Rápido do Azure Cloud Shell.

Inicie o Azure Cloud Shell e utilize a CLI do Azure para verificar a verificação da VM do Azure ao seguir estes passos:

1. Configure parâmetros a partir da sua subscrição, grupo de recursos e nome do cluster:

   subscription="00000000-0000-0000-0000-000000000000" # Replace with your subscription ID
   resourceGroup="hcicluster-rg" # Replace with your resource group name
   clusterName="HCICluster" # Replace with your cluster name
   
   az account set --subscription "${subscription}"
   

2. Para ver o estado de suporte do SO legado num cluster, execute o seguinte comando:

   az stack-hci cluster list \
   --resource-group "${resourceGroup}" \
   --query "[?name=='${clusterName}'].{Name:name, AzureBenefitsHostAttestation:reportedProperties.supportedCapabilities}" \
   -o table
   

FAQ

Esta secção fornece respostas a algumas perguntas mais frequentes sobre a utilização dos Benefícios do Azure.

Que cargas de trabalho exclusivas do Azure posso ativar com a verificação da VM do Azure?

Veja a lista completa aqui.

Tem algum custo para ativar a verificação da VM do Azure?

N.º Ativar a verificação da VM do Azure não implica taxas adicionais.

Posso utilizar a verificação da VM do Azure em ambientes que não o Azure Stack HCI?

N.º A verificação da VM do Azure é uma funcionalidade incorporada no SO HCI do Azure Stack e só pode ser utilizada no Azure Stack HCI.

Se acabei de atualizar para 23H2 a partir de 22H2 e tiver ativado anteriormente a funcionalidade Benefícios do Azure, preciso de fazer algo novo?

Se atualizou um cluster que anteriormente tinha os Benefícios do Azure no Azure Stack HCI configurados para as suas cargas de trabalho, não precisa de fazer nada quando atualizar para 23H2. Quando atualiza, a funcionalidade permanece ativada e o suporte do SO legado também está ativado. No entanto, se quiser utilizar uma forma melhorada de fazer comunicação VM a anfitrião através do VM Bus em 23H2, certifique-se de que tem os pré-requisitos de anfitrião necessários e os pré-requisitos da VM.

Acabei de configurar a verificação da VM do Azure no meu cluster. Como devo proceder para garantir que a verificação da VM do Azure permanece ativa?

• Na maioria dos casos, não é necessária nenhuma ação de utilizador. O Azure Stack HCI renova automaticamente a verificação da VM do Azure quando sincroniza com o Azure.
• No entanto, se o cluster se desligar durante mais de 30 dias e a verificação da VM do Azure for apresentada como Expirada, pode sincronizar manualmente com o PowerShell e Windows Admin Center. Para obter mais informações, veja Sincronizar o Azure Stack HCI.

O que acontece quando implemento novas VMs ou elimino VMs?

• Quando implementa novas VMs que requerem a verificação da VM do Azure, estas são automaticamente ativadas se tiverem os pré-requisitos de VM corretos.

• No entanto, para VMs legadas com suporte de SO legado, pode adicionar manualmente novas VMs para aceder à verificação da VM do Azure com Windows Admin Center ou o PowerShell, com as instruções anteriores.

• Ainda pode eliminar e migrar VMs como habitualmente. O nic AZSHCI_GUEST-IMDS_DO_NOT_MODIFY ainda existe na VM após a migração. Para limpar o NIC antes da migração, pode remover VMs da verificação da VM do Azure com Windows Admin Center ou o PowerShell com as instruções anteriores para o suporte do SO legado ou pode migrar primeiro e eliminar manualmente NICs posteriormente.

O que acontece quando adiciono ou remove servidores?

• Quando adiciona um servidor, este é ativado automaticamente se tiver os pré-requisitos do Anfitrião corretos.
• Se estiver a utilizar o suporte de SO legado, poderá ter de ativar manualmente estes servidores. Execute Enable-AzStackHCIAttestation [[-ComputerName] <String>] no PowerShell. Ainda pode eliminar servidores ou removê-los do cluster como habitualmente. O vSwitch AZSHCI_HOST-IMDS_DO_NOT_MODIFY ainda existe no servidor após a remoção do cluster. Pode deixá-lo se estiver a planear adicionar o servidor novamente ao cluster mais tarde ou pode removê-lo manualmente.

Passos seguintes

• Atualizações de segurança alargadas (ESU) no Azure Stack HCI
• Descrição geral do Azure Stack HCI
• FAQ do Azure Stack HCI