Implementar o Lançamento fidedigno para VMs do Azure Arc no Azure Stack HCI, versão 23H2

Aplica-se a: Azure Stack HCI, versão 23H2

Este artigo descreve como implementar o Lançamento fidedigno para máquinas virtuais (VMs) do Azure Arc no Azure Stack HCI, versão 23H2.

Pré-requisitos

Certifique-se de que tem acesso a um cluster do Azure Stack HCI, versão 23H2 que está implementado e registado no Azure. Para obter mais informações, veja Implementar com o portal do Azure.

Criar uma VM do Arc de lançamento fidedigno

Pode criar uma VM de iniciação Fidedigna com portal do Azure ou com a Interface de Command-Line (CLI) do Azure. Utilize os separadores abaixo para selecionar um método.

Portal do Azure

Para criar uma VM do Arc de lançamento fidedigno no Azure Stack HCI, siga os passos descritos em Criar máquinas virtuais do Arc no Azure Stack HCI com portal do Azure, com as seguintes alterações:

1. Ao criar a VM, selecione Máquinas virtuais de iniciação fidedignas para tipo de segurança.

   

2. Selecione uma imagem do SO convidado da VM na lista de imagens suportadas:

   

3. Assim que uma VM for criada, aceda à página de propriedades da VM e verifique se o tipo de segurança apresentado é Lançamento fidedigno.

   

CLI do Azure

Para criar uma VM arc de iniciação fidedigna no Azure Stack HCI, siga os passos em Criar máquinas virtuais do Arc no Azure Stack HCI com a CLI do Azure, com as seguintes alterações:

1. Crie uma imagem de VM com uma imagem de SO convidado de VM suportada por Lançamento fidedigno a partir de Azure Marketplace. Para obter mais informações, veja Create Azure Stack HCI VM image using Azure Marketplace (Criar uma imagem de VM do Azure Stack HCI com Azure Marketplace).

2. Crie uma VM com a CLI da seguinte forma:

   $vmName="<Name of the VM>" 
   $subscription="<Subscription ID associated with your cluster>" 
   $resourceGroup="<Resource group name for your cluster>" 
   $location="<Location for your Azure Stack HCI cluster>" 
   $customLocationID=(az customlocation show --resource-group $resource_group --name "<custom location name for HCI cluster>" --query id -o tsv) 
   $guestName="<Name of the guest>" 
   $userName="<Username for VM>" 
   $password="<Password for VM>" 
   $galleryImageName="<Name of VM guest image>" 
   $vNic="<Name of virtual network interface>" 
   
   az stack-hci-vm create --name $vmName --subscription $subscription --resource-group $resourceGroup --custom-location=$customLocationID --location $location --size="Default" --computer-name $guestName --admin-username $userName --admin-password $password --image $galleryImageName --nics $vNic --enable-secure-boot true --enable-vtpm true --security-type "TrustedLaunch"
   

   Resultado do exemplo:

   {
     "extendedLocation": {
       "name": "/subscriptions/myhci-sub/resourceGroups/myhci-rg/Microsoft.ExtendedLocation/customLocations/myhci-cl",
       "type": "CustomLocation"
     },
     "id": "/subscriptions/myhci-sub/resourceGroups/myhci-rg/providers/Microsoft.HybridCompute/machines/tvm1/providers/Microsoft.AzureStackHCI/virtualMachineInstances/default",
     "name": "default",
     "properties": {
       "hardwareProfile": {
         "dynamicMemoryConfig": {
           "maximumMemoryMb": null,
           "minimumMemoryMb": null,
           "targetMemoryBuffer": null
         },
         "memoryMb": 4096,
         "processors": 4,
         "vmSize": "Custom"
       },
       "instanceView": {
         "vmAgent": {
           "statuses": []
         }
       },
       "networkProfile": {
         "networkInterfaces": [
           {
             "id": "ram-nic"
           }
         ]
       },
       "osProfile": {
         "adminPassword": null,
         "adminUsername": "admin",
         "computerName": "myhci-tvm",
         "linuxConfiguration": {
           "disablePasswordAuthentication": null,
           "provisionVmAgent": false,
           "provisionVmConfigAgent": false,
           "ssh": {
             "publicKeys": null
           }
         },
         "windowsConfiguration": {
           "enableAutomaticUpdates": null,
           "provisionVmAgent": false,
           "provisionVmConfigAgent": false,
           "ssh": {
             "publicKeys": null
           },
           "timeZone": null
         }
       },
       "provisioningState": "Succeeded",
       "securityProfile": {
         "enableTpm": true,
         "securityType": "TrustedLaunch",
         "uefiSettings": {
           "secureBootEnabled": true
         }
       },
       "status": {
         "powerState": "Running"
       },
       "storageProfile": {
         "dataDisks": [],
         "imageReference": {
           "id": "/subscriptions/myhci-sub/resourceGroups/myhci-rg/providers/Microsoft.AzureStackHCI/marketplacegalleryimages/Win11EntMulti21H2",
           "resourceGroup": "myhci-rg"
         },
         "osDisk": {
           "id": null,
           "osType": "Windows"
         },
         "storagepathId": null
       },
       "vmId": "myhci-tvm-1234567890"
     },
     "resourceGroup": "myhci-rg",
     "systemData": {
       "createdAt": "2023-10-24T19:15:47.152610+00:00",
       "createdBy": "registration@contoso.com",
       "createdByType": "User",
       "lastModifiedAt": "2023-10-24T19:41:05.196469+00:00",
       "lastModifiedBy": "319f651f-7ddb-4fc6-9857-7aef9250bd05",
       "lastModifiedByType": "Application"
     },
     "tags": null,
     "type": "microsoft.azurestackhci/virtualmachineinstances"
   }
   

3. Assim que a VM for criada, verifique o tipo de segurança da VM como Lançamento fidedigno.

4. Execute o seguinte cmdlet para localizar o nó proprietário da VM:

   Get-ClusterGroup $vmName
   

5. Execute o seguinte cmdlet no nó proprietário da VM:

   (Get-VM $vmName).GuestStateIsolationType
   

6. Confirme que é devolvido um valor de TrustedLaunch .

Exemplo

Este exemplo mostra uma VM do Arc de iniciação fidedigna em execução Windows 11 convidado com a encriptação BitLocker ativada. Eis os passos para exercer o cenário:

1. Crie uma VM arc de iniciação fidedigna com um sistema operativo convidado Windows 11 suportado.

2. Ative a encriptação BitLocker para o volume do SO no convidado win 11.

   Inicie sessão na Windows 11 convidado e ative a encriptação BitLocker (para o volume do SO): na caixa de pesquisa na barra de tarefas, escreva Gerir BitLocker e, em seguida, selecione-a na lista de resultados. Selecione Ativar BitLocker e, em seguida, siga as instruções para encriptar o volume do SO (C:). O BitLocker utilizará o vTPM como um protetor de chaves para o volume do SO.

3. Migrar a VM para outro nó no cluster. Execute o seguinte comando do PowerShell:

   Move-ClusterVirtualMachineRole -Name $vmName -Node <destination node name> -MigrationType Shutdown
   

4. Confirme que o nó proprietário da VM é o nó de destino especificado:

   Get-ClusterGroup $vmName
   

5. Após a conclusão da migração da VM, verifique se a VM está disponível e se o BitLocker está ativado.

6. Verifique se consegue iniciar sessão no Windows 11 convidado na VM e se a encriptação BitLocker para o volume do SO permanece ativada. Se o conseguir fazer, isto confirma que o estado do vTPM foi preservado durante a migração da VM.

   Se o estado do vTPM não tiver sido preservado durante a migração da VM, o arranque da VM teria resultado na recuperação do BitLocker durante o arranque do convidado. Ou seja, teria sido-lhe pedida a palavra-passe de recuperação bitLocker quando tentou iniciar sessão no convidado Windows 11. Tal deveu-se ao facto de as medições de arranque (armazenadas no vTPM) da VM migrada no nó de destino serem diferentes das da VM original.

7. Forçar a VM a efetuar a ativação pós-falha para outro nó no cluster.

   1. Confirme o nó proprietário da VM com este comando:

      Get-ClusterGroup $vmName
      

   2. Utilize o Gestor de Clusters de Ativação Pós-falha para parar o serviço de cluster no nó proprietário da seguinte forma: selecione o nó do proprietário, conforme apresentado no Gestor de Clusters de Ativação Pós-falha.  No painel Direito das Ações , selecione Mais Ações e, em seguida, selecione Parar Serviço de Cluster.

   3. Parar o serviço de cluster no nó do proprietário fará com que a VM seja migrada automaticamente para outro nó disponível no cluster. Reinicie o serviço de cluster posteriormente.

8. Após a conclusão da ativação pós-falha, verifique se a VM está disponível e se o BitLocker está ativado após a ativação pós-falha.

9. Confirme que o nó proprietário da VM é o nó de destino especificado:

   Get-ClusterGroup $vmName
   

Passos seguintes

• Gerir a chave de proteção do estado convidado da VM do Arc de iniciação fidedigna.