Partilhar via


Introdução à inicialização confiável para VMs do Azure Arc no Azure Stack HCI, versão 23H2

Aplica-se a: Azure Stack HCI, versão 23H2

Este artigo apresenta a inicialização confiável para máquinas virtuais (VMs) do Azure Arc no Azure Stack HCI, versão 23H2. Você pode criar uma VM Arc de inicialização confiável usando o portal do Azure ou usando a CLI (Interface de Linha de Comando) do Azure.

Introdução

A inicialização confiável para VMs do Azure Arc dá suporte à inicialização segura, ao vTPM (Trusted Platform Module) virtual e à transferência de estado do vTPM quando uma VM migra ou faz failover em um cluster.

A inicialização confiável é um tipo de segurança que pode ser especificado ao criar VMs Arc no Azure Stack HCI. Para obter mais informações, consulte Inicialização confiável para VMs do Azure Arc no Azure Stack HCI.

Capacidades e vantagens

Funcionalidade Benefício
Arranque seguro Ajuda a reduzir o risco de malware (rootkits) durante a inicialização, verificando se os componentes de inicialização são assinados por editores confiáveis.
vTPM Versão virtualizada de um TPM de hardware que serve como um cofre dedicado para chaves, certificados e segredos.
Transferência de estado vTPM Preserva o vTPM quando a VM migra ou realiza failover em um cluster.
Segurança baseada em virtualização (VBS) O convidado na VM pode criar regiões isoladas de memória usando o suporte a VBS.

Nota

A verificação da integridade da inicialização do convidado da VM não está disponível.

Orientação

  • IgvmAgent é um componente instalado em todos os nós no cluster HCI do Azure Stack. Ele permite o suporte para VMs isoladas, como VMs Arc de inicialização confiáveis, por exemplo.

  • Como parte da criação de Arc VM de inicialização confiável, o Hyper-V cria arquivos de VM no disco para armazenar o estado da VM. Por padrão, o acesso a esses arquivos VM é restrito aos administradores do servidor host. Os administradores de host devem garantir que o local onde esses arquivos de VM são armazenados sempre permaneça adequadamente restrito ao acesso.

  • O tráfego de rede de migração ao vivo da VM não é criptografado. É altamente recomendável que você habilite uma tecnologia de criptografia de camada de rede, como IPsec, para proteger o tráfego de rede de migração ao vivo.

Imagens do sistema operacional convidado

As seguintes imagens do SO convidado VM do Azure Marketplace são suportadas. A imagem da VM pode ser criada usando o portal do Azure ou a CLI do Azure.

Para obter mais informações, consulte Criar imagem de VM HCI do Azure Stack usando o Azure Marketplace.

Nome Publisher Oferecer SKU Número de versão
Windows 11 Enterprise multi-sessão, versão 22H2 - Gen2 MicrosoftWindowsDesktop Janelas-11 win11-22h2-avd 22621.2428.231001
Windows 11 Enterprise multi-sessão, versão 22H2 + Microsoft 365 Apps (visualização) - Gen2 MicrosoftWindowsDesktop Windows11Preview win11-22h2-avd-m365 22621.382.220810
Windows 11 Enterprise multi-sessão, versão 21H2 - Gen2 MicrosoftWindowsDesktop Janelas-11 win11-21h2-avd 22000.2538.231001
Windows 11 Enterprise multi-sessão, versão 21H2 + Microsoft 365 Apps - Gen2 MicrosoftWindowsDesktop escritório-365 win10-21h2-avd-m365-g2 19044.3570.231010

Nota

Não há suporte para imagens de convidado de VM obtidas fora do Azure Marketplace.

Próximos passos