Microsoft Azure предлагает ряд разных рабочих нагрузок и возможностей, предназначенных для запуска только в Azure. Azure Stack HCI расширяет множество одинаковых преимуществ, которые вы получаете от Azure, при этом работает в одних и том же знакомых и высокопроизводительных локальных или пограничных средах.
Проверка Azure для виртуальных машин позволяет использовать поддерживаемые рабочие нагрузки, исключающие Azure, для работы за пределами облака. Эта функция, моделируемая после службы аттестации IMDS в Azure, — это встроенная служба аттестации платформы, которая включена по умолчанию в Azure Stack HCI 23H2 или более поздней версии. Это помогает обеспечить гарантии работы этих виртуальных машин в других средах Azure.
Дополнительные сведения о предыдущей версии этой функции в Azure Stack HCI версии 22H2 или более ранней см. в статье "Преимущества Azure в Azure Stack HCI".
Преимущества, доступные в Azure Stack HCI
Проверка Azure для виртуальной машины позволяет использовать эти преимущества, доступные только в Azure Stack HCI:
Рабочая нагрузка
Что это
Как получить преимущества
Расширенное обновление системы безопасности (ESUs)
Необходимо включить поддержку устаревшей ОС для старых виртуальных машин под управлением Windows Server 2012 или более ранней версии с последними обновлениями стека обслуживания.
Виртуальный рабочий стол Azure (AVD)
Узлы сеансов AVD могут выполняться только в инфраструктуре Azure. Активируйте виртуальные машины Windows с несколькими сеансами в Azure Stack HCI с помощью проверки виртуальной машины Azure. Требования к лицензированию AVD по-прежнему применяются. См . цены на виртуальный рабочий стол Azure.
Активируется автоматически для виртуальных машин под управлением Windows 11 с несколькими сеансами с обновлением 4B, выпущенным 9 апреля 2024 г. (22H2: KB5036893, 21H2: KB5036894) или более поздней версии. Необходимо включить поддержку устаревшей ОС для виртуальных машин под управлением Windows 10 с несколькими сеансами с обновлением 4B, выпущенным 9 апреля 2024 г. KB5036892 или более поздней версии.
Центр обработки данных Windows Server: Выпуск Azure
Виртуальные машины Azure Edition могут выполняться только в инфраструктуре Azure. Активируйте виртуальные машины Windows Server Azure Edition и используйте последние инновации Windows Server и другие эксклюзивные функции. Требования к лицензированию по-прежнему применяются. Узнайте, как лицензировать виртуальные машины Windows Server в Azure Stack HCI.
Активируется автоматически для виртуальных машин под управлением Windows Server Azure Edition 2022 с обновлением 4B, выпущенном 9 апреля 2024 г. (KB5036909) или более поздней версии.
Сведения о гостевой конфигурации службы "Политика Azure".
Получите Политика Azure гостевую конфигурацию без затрат. Это расширение Arc позволяет выполнять аудит и настройку параметров ОС в виде кода для серверов и виртуальных машин.
Агент Arc версии 1.39 или более поздней. См . последний выпуск агента Arc.
Примечание.
Чтобы обеспечить непрерывную функциональность, обновите виртуальные машины в Azure Stack HCI до последней накопительной версии к 17 июня 2024 года. Это обновление важно для виртуальных машин для продолжения использования преимуществ Azure. Дополнительные сведения см. в записи блога Azure Stack HCI.
Управление проверкой виртуальной машины Azure
Проверка виртуальной машины Azure автоматически включена по умолчанию в Azure Stack HCI 23H2 или более поздней версии. Приведенные ниже инструкции описывают предварительные требования для использования этой функции и действий по управлению преимуществами (необязательно).
Примечание.
Чтобы включить расширенные обновления системы безопасности (ESUS), необходимо выполнить дополнительную настройку и включить поддержку устаревшей ОС.
Предварительные требования узла
Убедитесь, что у вас есть доступ к системе Azure Stack HCI версии 23H2. Все серверы должны быть развернуты в сети, зарегистрированы и кластеры. Дополнительные сведения см. в разделе "Регистрация серверов с помощью Arc" и см. в статье "Развертывание с помощью портал Azure".
Вы можете управлять проверкой виртуальной машины Azure с помощью Windows Admin Center или PowerShell или просмотреть его состояние с помощью Azure CLI или портал Azure. В следующих разделах описаны все варианты.
На странице ресурсов кластера Azure Stack HCI перейдите на вкладку "Конфигурация ".
Под функцией проверки Azure для виртуальных машин просмотрите состояние аттестации узла.
Azure CLI доступна для установки в средах Windows, macOS и Linux. Его также можно запустить в Azure Cloud Shell. В этом разделе описывается использование Bash в Azure Cloud Shell. Дополнительные сведения см . в кратком руководстве по Azure Cloud Shell.
Запустите Azure Cloud Shell и используйте Azure CLI для проверки проверки виртуальной машины Azure, выполнив следующие действия.
Настройка параметров из подписки, группы ресурсов и имени кластера
subscription="00000000-0000-0000-0000-000000000000" # Replace with your subscription ID
resourceGroup="hcicluster-rg" # Replace with your resource group name
clusterName="HCICluster" # Replace with your cluster name
az account set --subscription "${subscription}"
Чтобы просмотреть состояние проверки виртуальной машины Azure в кластере, выполните следующую команду:
az stack-hci cluster list \
--resource-group "${resourceGroup}" \
--query "[?name=='${clusterName}'].{Name:name, AzureBenefitsHostAttestation:reportedProperties.imdsAttestation}" \
-o table
Проверка состояния сервера проверки виртуальной машины Azure
В Windows Admin Center выберите Диспетчер кластеров в раскрывающемся меню, перейдите к кластеру, который требуется активировать, а затем в разделе "Параметры" выберите проверку Azure для виртуальных машин.
Чтобы проверить состояние сервера проверки виртуальной машины Azure, выполните следующие действия.
Состояние уровня кластера: состояние узла отображается как включено.
Состояние уровня сервера: на вкладке "Сервер " на панели мониторинга убедитесь, что состояние каждого сервера отображается как "Активный " в таблице.
Устранение неполадок серверов
На вкладке "Сервер" , если один или несколько серверов отображаются как просроченные:
Если сервер не синхронизируется с Azure более 30 дней, его состояние отображается как истекший или неактивный. Выберите " Синхронизация с Azure ", чтобы запланировать синхронизацию вручную.
Управление преимуществами, активированными на виртуальных машинах
Чтобы проверить, какие преимущества активируются на виртуальных машинах, перейдите на вкладку виртуальных машин .
На панели мониторинга отображается количество виртуальных машин со следующими значениями:
Активные преимущества. Эти виртуальные машины активируются с помощью проверки виртуальной машины Azure.
Неактивные преимущества. Эти виртуальные машины имеют эксклюзивные функции Azure, требующие дальнейших действий перед активацией.
Неизвестно. Мы не можем определить подходящие преимущества для этих виртуальных машин, так как обмен данными Hyper-V отключен. См. следующий раздел по устранению неполадок.
Нет применимых преимуществ. Эти виртуальные машины не имеют эксклюзивных функций Azure и поэтому не требуют проверки виртуальной машины Azure.
На вкладке "Виртуальные машины", если одна или несколько виртуальных машин отображаются как неактивные преимущества:
Если предлагаемое действие заключается в установке обновлений, возможно, у вас нет минимальной версии ОС, необходимой для преимущества. Обновите виртуальную машину в соответствии с требованиями к версии для рабочих нагрузок.
Если предлагаемое действие — включить интерфейс гостевой службы, выберите его и откройте область контекста, чтобы включить интерфейс гостевой службы Hyper-V. Эта функция необходима для взаимодействия виртуальных машин с узлом через VMbus.
Если предлагаемое действие касается устаревшей поддержки ОС, ознакомьтесь с устранением неполадок для поддержки устаревших ОС.
На вкладке виртуальных машин, если одна или несколько виртуальных машин отображаются как неизвестные:
Если вы хотите определить преимущества, доступные для этих виртуальных машин, это можно сделать вручную, проверив полный список преимуществ, доступных в Azure Stack HCI, или Windows Admin Center может отобразить эти сведения. Чтобы получить доступ к данным через Windows Admin Center, включите обмен данными Hyper-V (KVP) для виртуальных машин, выбрав действие, помеченное как Включение обмена данными Hyper-V.
Проверка состояния сервера проверки виртуальной машины Azure
При успешной настройке проверки виртуальной машины Azure можно просмотреть состояние узла. Проверьте аттестацию свойства IMDS кластера, выполнив следующую команду:
Get-AzureStackHCI
Чтобы просмотреть состояние проверки виртуальной машины Azure для серверов, выполните следующую команду:
Если проверка виртуальной машины Azure для одного или нескольких серверов еще не синхронизирована и продлена с Помощью Azure, она может отображаться как истекший или неактивный. Планирование синхронизации вручную:
Sync-AzureStackHCI
Управление преимуществами, активированными на виртуальных машинах
Чтобы проверить доступ к проверке виртуальной машины Azure для виртуальных машин, выполните следующую команду:
Get-AzStackHCIVMAttestation
Примечание.
Виртуальная машина, поддерживаемая для версии 2 , может взаимодействовать с сервером с помощью VMBus. И наоборот, поддерживаемая виртуальная машина версии 1 настроена с устаревшей поддержкой ОС и может получить доступ к проверке виртуальной машины Azure через REST. Если виртуальная машина поддерживает версию 1 и 2, используется метод версии 2 (т. е. VMBus), но он может вернуться к версии 1, если версия 2 сталкивается с проблемой.
Устранение неполадок виртуальных машин
Чтобы настроить доступ к проверке виртуальной машины Azure для виртуальных машин, можно включить интерфейс гостевой службы Hyper-V.
Чтобы проверить, включен ли интерфейс гостевой службы Hyper-V, выполните следующую команду:
Get-VMIntegrationService [[-VMName] <VMName>] -Name "Guest Service Interface"
Чтобы включить интерфейс гостевой службы Hyper-V, выполните следующие действия.
Enable-VMIntegrationService [[-VMName] <VMName>] -Name "Guest Service Interface"
Чтобы убедиться, что виртуальные машины могут получить доступ к проверке виртуальной машины Azure на узле, выполните следующую команду на узле:
Invoke-RestMethod -Headers @{"Metadata"="true"} -Method GET -Uri "http://127.0.0.1:42542/metadata/attested/document?api-version=2018-10-01" –usedefaultcredentials
Поддержка устаревшей ОС
Для старых виртуальных машин, которые не имеют необходимых функций Hyper-V (гостевой интерфейс службы) для взаимодействия непосредственно с узлом, необходимо настроить традиционные сетевые компоненты для проверки виртуальной машины Azure. Если у вас есть эти рабочие нагрузки, например расширенные обновления системы безопасности (ESUs), следуйте инструкциям в этом разделе, чтобы настроить поддержку устаревшей ОС.
В настоящее время вы не можете просмотреть устаревшую поддержку ОС из портал Azure.
Azure CLI доступна для установки в средах Windows, macOS и Linux. Его также можно запустить в Azure Cloud Shell. В этом разделе описывается использование Bash в Azure Cloud Shell. Дополнительные сведения см. в кратком руководстве по Azure Cloud Shell.
Запустите Azure Cloud Shell и используйте Azure CLI для проверки проверки виртуальной машины Azure, выполнив следующие действия.
Настройте параметры из подписки, группы ресурсов и имени кластера:
subscription="00000000-0000-0000-0000-000000000000" # Replace with your subscription ID
resourceGroup="hcicluster-rg" # Replace with your resource group name
clusterName="HCICluster" # Replace with your cluster name
az account set --subscription "${subscription}"
Чтобы просмотреть состояние поддержки устаревшей ОС в кластере, выполните следующую команду:
az stack-hci cluster list \
--resource-group "${resourceGroup}" \
--query "[?name=='${clusterName}'].{Name:name, AzureBenefitsHostAttestation:reportedProperties.supportedCapabilities}" \
-o table
1. Включение поддержки устаревшей ОС на узле
В Windows Admin Center выберите Диспетчер кластеров в раскрывающемся меню, перейдите к кластеру, который требуется активировать, а затем в разделе "Параметры" выберите проверки Azure для виртуальных машин.
В разделе поддержки устаревшей ОС выберите "Изменить состояние". Выберите "Вкл." в области контекста. Этот параметр также обеспечивает сетевой доступ ко всем существующим виртуальным машинам. Необходимо вручную включить поддержку устаревшей ОС для всех новых виртуальных машин, создаваемых позже.
Выберите "Изменить состояние", чтобы подтвердить. Для отражения изменений может потребоваться несколько минут.
Если поддержка устаревшей ОС успешно включена:
Убедитесь, что поддержка устаревшей ОС отображается как включено.
На вкладке "Сервер" на панели мониторинга убедитесь, что устаревшая поддержка ОС для каждого сервера отображается как "Включено " в таблице.
2. Включение доступа для новых виртуальных машин
Необходимо включить устаревшую сеть ОС для всех новых виртуальных машин, создаваемых после первой установки. Чтобы управлять доступом для виртуальных машин, перейдите на вкладку виртуальных машин . Любая виртуальная машина, требующая доступа к устаревшей ОС, отображается как неактивная. Выберите действие, чтобы настроить устаревшую сеть ОС для выбранной виртуальной машины или для всех существующих виртуальных машин в кластере.
Примечание.
Чтобы успешно включить поддержку устаревшей ОС на виртуальных машинах поколения 1, сначала необходимо отключить виртуальную машину, чтобы включить добавление сетевого адаптера.
1. Включение поддержки устаревшей ОС на узле
Выполните следующую команду из окна PowerShell с повышенными привилегиями в кластере Azure Stack HCI:
Enable-AzStackHCIAttestation
Или, если вы хотите добавить все существующие виртуальные машины в настройке, можно выполнить следующую команду:
Чтобы отключить и сбросить поддержку устаревшей ОС в кластере, выполните следующую команду:
Disable-AzStackHCIAttestation -RemoveVM
2. Включение доступа для виртуальных машин
Чтобы настроить сетевой доступ для выбранных виртуальных машин, выполните следующую команду в кластере Azure Stack HCI:
Add-AzStackHCIVMAttestation [-VMName]
Чтобы добавить все существующие виртуальные машины, выполните следующую команду:
Add-AzStackHCIVMAttestation -AddAll
Получите список виртуальных машин, имеющих доступ к устаревшей поддержке ОС:
Get-AzStackHCIVMAttestation
Примечание.
Чтобы успешно включить поддержку устаревшей ОС на виртуальных машинах поколения 1, сначала необходимо отключить виртуальную машину, чтобы включить добавление сетевого адаптера.
Устранение неполадок виртуальных машин
Чтобы удалить доступ к устаревшей поддержке ОС для выбранных виртуальных машин:
Remove-AzStackHCIVMAttestation -VMName <string>
Кроме того, чтобы удалить доступ ко всем существующим виртуальным машинам, выполните приведенные действия.
Remove-AzStackHCIVMAttestation -RemoveAll
Чтобы проверить, что виртуальные машины могут получить доступ к устаревшей поддержке ОС на узле, выполните следующую команду на виртуальной машине:
Invoke-RestMethod -Headers @{"Metadata"="true"} -Method GET -Uri http://169.254.169.253:80/metadata/attested/document?api-version=2018-10-01
Вопросы и ответы
В этом разделе приведены ответы на некоторые часто задаваемые вопросы об использовании преимуществ Azure.
Какие рабочие нагрузки, исключающие Azure, можно включить с помощью проверки виртуальной машины Azure?
Стоит ли что-либо включить проверку виртуальной машины Azure?
№ Включение проверки виртуальной машины Azure не взимает дополнительных сборов.
Можно ли использовать проверку виртуальной машины Azure в средах, отличных от Azure Stack HCI?
№ Проверка виртуальной машины Azure — это функция, встроенная в ОС Azure Stack HCI, которая может использоваться только в Azure Stack HCI.
Если я только что обновился до 23H2 с 22H2, и я ранее включил функцию "Преимущества Azure", мне нужно сделать что-нибудь новое?
Если вы обновили кластер, который ранее имел преимущества Azure в Azure Stack HCI , настроенные для рабочих нагрузок, вам не нужно ничего делать при обновлении до 23H2. При обновлении компонент по-прежнему включен, а поддержка устаревшей ОС также включена. Однако если вы хотите использовать улучшенный способ взаимодействия между виртуальными машинами через шину виртуальной машины в 23H2, убедитесь, что у вас есть необходимые требования узла и необходимые компоненты виртуальной машины.
Я только что настроила проверку виртуальной машины Azure в моем кластере. Разделы справки убедитесь, что проверка виртуальной машины Azure остается активной?
В большинстве случаев не требуется никаких действий пользователя. Azure Stack HCI автоматически обновляет проверку виртуальной машины Azure при синхронизации с Azure.
Однако если кластер отключается более 30 дней и проверка виртуальной машины Azure отображается как истекший срок действия, можно вручную синхронизировать с помощью PowerShell и Центра администрирования Windows. Дополнительные сведения см. в разделе синхронизации Azure Stack HCI.
Что происходит при развертывании новых виртуальных машин или удалении виртуальных машин?
При развертывании новых виртуальных машин, требующих проверки виртуальной машины Azure, они автоматически активируются при наличии необходимых компонентов виртуальной машины.
Однако для устаревших виртуальных машин с помощью поддержки устаревшей ОС можно вручную добавить новые виртуальные машины для доступа к проверке виртуальной машины Azure с помощью Windows Admin Center или PowerShell, используя приведенные выше инструкции.
Вы по-прежнему можете удалять и переносить виртуальные машины как обычно. Сетевой адаптер AZSHCI_GUEST-IMDS_DO_NOT_MODIFY по-прежнему существует на виртуальной машине после миграции. Чтобы очистить сетевой адаптер перед миграцией, можно удалить виртуальные машины из проверки виртуальной машины Azure с помощью Windows Admin Center или PowerShell, используя предыдущие инструкции по поддержке устаревших ОС, или сначала перенести и вручную удалить сетевые адаптеры.
Что происходит при добавлении или удалении серверов?
При добавлении сервера он автоматически активируется при наличии необходимых компонентов узла.
Если вы используете поддержку устаревшей ОС, может потребоваться вручную включить эти серверы. Запустите Enable-AzStackHCIAttestation [[-ComputerName] <String>] в PowerShell. Вы по-прежнему можете удалить серверы или удалить их из кластера как обычно. VSwitch AZSHCI_HOST-IMDS_DO_NOT_MODIFY по-прежнему существует на сервере после удаления из кластера. Вы можете оставить его, если вы планируете добавить сервер обратно в кластер позже или удалить его вручную.
Ожидается в ближайшее время: в течение 2024 года мы постепенно откажемся от GitHub Issues как механизма обратной связи для контента и заменим его новой системой обратной связи. Дополнительные сведения см. в разделе https://aka.ms/ContentUserFeedback.
