Развертывание доверенного запуска для виртуальных машин Azure Arc в Azure Stack HCI версии 23H2

Применимо к: Azure Stack HCI версии 23H2

В этой статье описывается развертывание доверенного запуска для виртуальных машин Azure Arc в Azure Stack HCI версии 23H2.

Предварительные требования

Убедитесь, что у вас есть доступ к кластеру Azure Stack HCI версии 23H2, который развернут и зарегистрирован в Azure. Дополнительные сведения см. в статье Развертывание с помощью портал Azure.

Создание виртуальной машины Arc с доверенным запуском

Вы можете создать виртуальную машину доверенного запуска с помощью портал Azure или с помощью интерфейса Command-Line Azure (CLI). Используйте вкладки ниже, чтобы выбрать метод.

Портал Azure

Чтобы создать виртуальную машину Arc с доверенным запуском в Azure Stack HCI, выполните действия, описанные в статье Создание виртуальных машин Arc в Azure Stack HCI с помощью портал Azure со следующими изменениями:

1. При создании виртуальной машины выберите Доверенный запуск виртуальных машин для типа безопасности.

   

2. Выберите образ гостевой ОС виртуальной машины из списка поддерживаемых образов:

   

3. После создания виртуальной машины перейдите на страницу свойств виртуальной машины и убедитесь, что показан тип безопасности Доверенный запуск.

   

Azure CLI

Чтобы создать виртуальную машину Arc с доверенным запуском в Azure Stack HCI, выполните действия, описанные в статье Создание виртуальных машин Arc в Azure Stack HCI с помощью Azure CLI со следующими изменениями:

1. Создайте образ виртуальной машины с помощью поддерживаемого образа гостевой ОС виртуальной машины с помощью доверенного запуска из Azure Marketplace. Дополнительные сведения см. в статье Создание образа виртуальной машины Azure Stack HCI с помощью Azure Marketplace.

2. Создайте виртуальную машину с помощью интерфейса командной строки следующим образом:

   $vmName="<Name of the VM>" 
   $subscription="<Subscription ID associated with your cluster>" 
   $resourceGroup="<Resource group name for your cluster>" 
   $location="<Location for your Azure Stack HCI cluster>" 
   $customLocationID=(az customlocation show --resource-group $resource_group --name "<custom location name for HCI cluster>" --query id -o tsv) 
   $guestName="<Name of the guest>" 
   $userName="<Username for VM>" 
   $password="<Password for VM>" 
   $galleryImageName="<Name of VM guest image>" 
   $vNic="<Name of virtual network interface>" 
   
   az stack-hci-vm create --name $vmName --subscription $subscription --resource-group $resourceGroup --custom-location=$customLocationID --location $location --size="Default" --computer-name $guestName --admin-username $userName --admin-password $password --image $galleryImageName --nics $vNic --enable-secure-boot true --enable-vtpm true --security-type "TrustedLaunch"
   

   Образец вывода:

   {
     "extendedLocation": {
       "name": "/subscriptions/myhci-sub/resourceGroups/myhci-rg/Microsoft.ExtendedLocation/customLocations/myhci-cl",
       "type": "CustomLocation"
     },
     "id": "/subscriptions/myhci-sub/resourceGroups/myhci-rg/providers/Microsoft.HybridCompute/machines/tvm1/providers/Microsoft.AzureStackHCI/virtualMachineInstances/default",
     "name": "default",
     "properties": {
       "hardwareProfile": {
         "dynamicMemoryConfig": {
           "maximumMemoryMb": null,
           "minimumMemoryMb": null,
           "targetMemoryBuffer": null
         },
         "memoryMb": 4096,
         "processors": 4,
         "vmSize": "Custom"
       },
       "instanceView": {
         "vmAgent": {
           "statuses": []
         }
       },
       "networkProfile": {
         "networkInterfaces": [
           {
             "id": "ram-nic"
           }
         ]
       },
       "osProfile": {
         "adminPassword": null,
         "adminUsername": "admin",
         "computerName": "myhci-tvm",
         "linuxConfiguration": {
           "disablePasswordAuthentication": null,
           "provisionVmAgent": false,
           "provisionVmConfigAgent": false,
           "ssh": {
             "publicKeys": null
           }
         },
         "windowsConfiguration": {
           "enableAutomaticUpdates": null,
           "provisionVmAgent": false,
           "provisionVmConfigAgent": false,
           "ssh": {
             "publicKeys": null
           },
           "timeZone": null
         }
       },
       "provisioningState": "Succeeded",
       "securityProfile": {
         "enableTpm": true,
         "securityType": "TrustedLaunch",
         "uefiSettings": {
           "secureBootEnabled": true
         }
       },
       "status": {
         "powerState": "Running"
       },
       "storageProfile": {
         "dataDisks": [],
         "imageReference": {
           "id": "/subscriptions/myhci-sub/resourceGroups/myhci-rg/providers/Microsoft.AzureStackHCI/marketplacegalleryimages/Win11EntMulti21H2",
           "resourceGroup": "myhci-rg"
         },
         "osDisk": {
           "id": null,
           "osType": "Windows"
         },
         "storagepathId": null
       },
       "vmId": "myhci-tvm-1234567890"
     },
     "resourceGroup": "myhci-rg",
     "systemData": {
       "createdAt": "2023-10-24T19:15:47.152610+00:00",
       "createdBy": "registration@contoso.com",
       "createdByType": "User",
       "lastModifiedAt": "2023-10-24T19:41:05.196469+00:00",
       "lastModifiedBy": "319f651f-7ddb-4fc6-9857-7aef9250bd05",
       "lastModifiedByType": "Application"
     },
     "tags": null,
     "type": "microsoft.azurestackhci/virtualmachineinstances"
   }
   

3. После создания виртуальной машины проверьте тип безопасности виртуальной машины как доверенный запуск.

4. Выполните следующий командлет, чтобы найти узел владельца виртуальной машины:

   Get-ClusterGroup $vmName
   

5. Выполните следующий командлет на узле владельца виртуальной машины:

   (Get-VM $vmName).GuestStateIsolationType
   

6. Убедитесь, что возвращается значение TrustedLaunch .

Пример

В этом примере показана виртуальная машина Arc с доверенным запуском, на которой Windows 11 гость с включенным шифрованием BitLocker. Ниже приведены шаги для реализации сценария.

1. Создайте виртуальную машину Arc с доверенным запуском с поддерживаемой Windows 11 операционной системой на виртуальной машине.

2. Включите шифрование BitLocker для тома ОС на гостевой виртуальной машине Win 11.

   Войдите в гостевую Windows 11 и включите шифрование BitLocker (для тома ОС). В поле поиска на панели задач введите Управление BitLocker и выберите его в списке результатов. Выберите Включить BitLocker и следуйте инструкциям по шифрованию тома ОС (C:). BitLocker будет использовать vTPM в качестве предохранителя ключа для тома ОС.

3. Перенесите виртуальную машину на другой узел в кластере. Выполните следующую команду PowerShell:

   Move-ClusterVirtualMachineRole -Name $vmName -Node <destination node name> -MigrationType Shutdown
   

4. Убедитесь, что узел владельца виртуальной машины является указанным конечным узлом:

   Get-ClusterGroup $vmName
   

5. После завершения миграции виртуальной машины проверьте, доступна ли виртуальная машина и включена ли функция BitLocker.

6. Проверьте, можно ли войти в Windows 11 гостевой оси виртуальной машины и по-прежнему ли включено шифрование BitLocker для тома ОС. Если это возможно, это подтверждает сохранение состояния vTPM во время миграции виртуальной машины.

   Если бы состояние vTPM не сохранялось во время миграции виртуальной машины, запуск виртуальной машины привел бы к восстановлению BitLocker во время гостевой загрузки. То есть вам будет предложено ввести пароль восстановления BitLocker при попытке входа в Windows 11 гость. Это связано с тем, что измерения загрузки (хранящиеся в vTPM) перенесенной виртуальной машины на целевом узле отличаются от измерений исходной виртуальной машины.

7. Принудительная отработка отказа виртуальной машины на другой узел в кластере.

   1. Подтвердите узел владельца виртуальной машины с помощью следующей команды:

      Get-ClusterGroup $vmName
      

   2. Используйте диспетчер отказоустойчивости кластеров, чтобы остановить службу кластера на узле-владельце, как показано в разделе Диспетчер отказоустойчивости кластеров.  На правой панели Действия выберите Дополнительные действия , а затем выберите Остановить службу кластеров.

   3. Остановка службы кластера на узле-владельце приведет к автоматическому переносу виртуальной машины на другой доступный узел в кластере. Затем перезапустите службу кластера.

8. После завершения отработки отказа проверьте, доступна ли виртуальная машина, а bitLocker включена после отработки отказа.

9. Убедитесь, что узел владельца виртуальной машины является указанным конечным узлом:

   Get-ClusterGroup $vmName
   

Дальнейшие действия

• Управление ключом защиты гостевого состояния виртуальной машины Arc с доверенным запуском.