Общие сведения о доверенном запуске виртуальных машин Azure Arc в Azure Stack HCI версии 23H2
Область применения: Azure Stack HCI версии 23H2
В этой статье описывается доверенный запуск виртуальных машин Azure Arc в Azure Stack HCI версии 23H2. Вы можете создать виртуальную машину доверенного запуска Arc с помощью портал Azure или с помощью интерфейс командной строки Azure (CLI).
Введение
Доверенный запуск для виртуальных машин Azure Arc поддерживает безопасную загрузку, виртуальный доверенный платформенный модуль (vTPM) и передачу состояния vTPM при миграции виртуальной машины или отработки отказа в кластере.
Доверенный запуск — это тип безопасности, который можно указать при создании виртуальных машин Arc в Azure Stack HCI. Дополнительные сведения см. в статье о доверенном запуске виртуальных машин Azure Arc в Azure Stack HCI.
Возможности и преимущества
| Возможность | Преимущества |
|---|---|
| Безопасная загрузка | Помогает снизить риск вредоносных программ (rootkits) во время загрузки, убедившись, что компоненты загрузки подписаны доверенными издателями. |
| vTPM | Виртуализированная версия аппаратного доверенного платформенного модуля, которая служит выделенным хранилищем для ключей, сертификатов и секретов. |
| Передача состояния vTPM | Сохраняет vTPM при миграции виртуальной машины или отработки отказа в кластере. |
| Безопасность на основе виртуализации (VBS) | Гостевой сервер виртуальной машины может создавать изолированные регионы памяти с помощью поддержки VBS. |
Примечание.
Проверка целостности гостевой загрузки виртуальной машины недоступна.
Руководство
IgvmAgent — это компонент, установленный на всех узлах кластера Azure Stack HCI. Она обеспечивает поддержку изолированных виртуальных машин, таких как доверенные виртуальные машины запуска Arc, например.
В рамках создания доверенной виртуальной машины Arc Hyper-V создает файлы виртуальных машин на диске для хранения состояния виртуальной машины. По умолчанию доступ к этим файлам виртуальной машины ограничен администраторами сервера узла. Администраторы узлов должны убедиться, что расположение, в котором хранятся файлы виртуальных машин, всегда остается соответствующим образом ограниченным доступом.
Сетевой трафик динамической миграции виртуальной машины не шифруется. Настоятельно рекомендуется включить технологию шифрования сетевого слоя, например IPsec, для защиты сетевого трафика динамической миграции.
Образы гостевой операционной системы
Поддерживаются следующие образы гостевой ОС виртуальной машины из Azure Marketplace. Образ виртуальной машины можно создать с помощью портал Azure или Azure CLI.
Дополнительные сведения см. в статье "Создание образа виртуальной машины Azure Stack HCI с помощью Azure Marketplace".
| Имя. | Publisher | ПРЕДЛОЖЕНИЕ | Номер SKU | Номер версии |
|---|---|---|---|---|
| Windows 11 Корпоративная многосеансовой версии 22H2 - 2-го поколения | microsoftwindowsdesktop | Windows-11 | win11-22h2-avd | 22621.2428.231001 |
| Windows 11 Корпоративная нескольких сеансов версии 22H2 + Приложения Microsoft 365 (предварительная версия) - 2-го поколения | microsoftwindowsdesktop | windows11preview | win11-22h2-avd-m365 | 22621.382.220810 |
| Windows 11 Корпоративная нескольких сеансов версии 21H2 — 2-го поколения | microsoftwindowsdesktop | Windows-11 | win11-21h2-avd | 22000.2538.231001 |
| Windows 11 Корпоративная нескольких сеансов версии 21H2 + Приложения Microsoft 365 - 2-го поколения | microsoftwindowsdesktop | Office-365 | win10-21h2-avd-m365-g2 | 19044.3570.231010 |
Примечание.
Гостевые образы виртуальных машин, полученные за пределами Azure Marketplace, не поддерживаются.
Следующие шаги
Обратная связь
Ожидается в ближайшее время: в течение 2024 года мы постепенно откажемся от GitHub Issues как механизма обратной связи для контента и заменим его новой системой обратной связи. Дополнительные сведения см. в разделе https://aka.ms/ContentUserFeedback.
Отправить и просмотреть отзыв по