Distribuera betrodd start för virtuella Azure Arc-datorer på Azure Stack HCI, version 23H2

Artikel
03/05/2024

Gäller för: Azure Stack HCI, version 23H2

Den här artikeln beskriver hur du distribuerar betrodd start för virtuella Azure Arc-datorer på Azure Stack HCI version 23H2.

Förutsättningar

Kontrollera att du har åtkomst till ett Azure Stack HCI- version 23H2-kluster som har distribuerats och registrerats med Azure. Mer information finns i distribuera med hjälp av Azure Portal.

Skapa en virtuell Arc-dator med betrodd start

Du kan skapa en betrodd virtuell startdator med hjälp av Azure Portal eller med hjälp av Azure Command-Line Interface (CLI). Använd flikarna nedan för att välja en metod.

Azure-portalen
Azure CLI

Om du vill skapa en virtuell Arc-dator med betrodd start på Azure Stack HCI följer du stegen i Skapa virtuella Arc-datorer på Azure Stack HCI med Azure Portal, med följande ändringar:

När du skapar den virtuella datorn väljer du Betrodda starta virtuella datorer som säkerhetstyp.
Välj en VM-gästoperativsystemavbildning i listan över avbildningar som stöds:
När en virtuell dator har skapats går du till sidan egenskaper för den virtuella datorn och kontrollerar att säkerhetstypen som visas är Betrodd start.

Om du vill skapa en virtuell Arc-dator med betrodd start på Azure Stack HCI följer du stegen i Skapa virtuella Arc-datorer på Azure Stack HCI med Azure CLI, med följande ändringar:

Skapa en VM-avbildning med en vm-gästoperativsystemavbildning som stöds av betrodd start från Azure Marketplace. Mer information finns i Skapa Azure Stack HCI VM-avbildning med Azure Marketplace.

Skapa en virtuell dator med CLI på följande sätt:

$vmName="<Name of the VM>" 
$subscription="<Subscription ID associated with your cluster>" 
$resourceGroup="<Resource group name for your cluster>" 
$location="<Location for your Azure Stack HCI cluster>" 
$customLocationID=(az customlocation show --resource-group $resource_group --name "<custom location name for HCI cluster>" --query id -o tsv) 
$guestName="<Name of the guest>" 
$userName="<Username for VM>" 
$password="<Password for VM>" 
$galleryImageName="<Name of VM guest image>" 
$vNic="<Name of virtual network interface>" 

az stack-hci-vm create --name $vmName --subscription $subscription --resource-group $resourceGroup --custom-location=$customLocationID --location $location --size="Default" --computer-name $guestName --admin-username $userName --admin-password $password --image $galleryImageName --nics $vNic --enable-secure-boot true --enable-vtpm true --security-type "TrustedLaunch"

Exempel på utdata:

{
  "extendedLocation": {
    "name": "/subscriptions/myhci-sub/resourceGroups/myhci-rg/Microsoft.ExtendedLocation/customLocations/myhci-cl",
    "type": "CustomLocation"
  },
  "id": "/subscriptions/myhci-sub/resourceGroups/myhci-rg/providers/Microsoft.HybridCompute/machines/tvm1/providers/Microsoft.AzureStackHCI/virtualMachineInstances/default",
  "name": "default",
  "properties": {
    "hardwareProfile": {
      "dynamicMemoryConfig": {
        "maximumMemoryMb": null,
        "minimumMemoryMb": null,
        "targetMemoryBuffer": null
      },
      "memoryMb": 4096,
      "processors": 4,
      "vmSize": "Custom"
    },
    "instanceView": {
      "vmAgent": {
        "statuses": []
      }
    },
    "networkProfile": {
      "networkInterfaces": [
        {
          "id": "ram-nic"
        }
      ]
    },
    "osProfile": {
      "adminPassword": null,
      "adminUsername": "admin",
      "computerName": "myhci-tvm",
      "linuxConfiguration": {
        "disablePasswordAuthentication": null,
        "provisionVmAgent": false,
        "provisionVmConfigAgent": false,
        "ssh": {
          "publicKeys": null
        }
      },
      "windowsConfiguration": {
        "enableAutomaticUpdates": null,
        "provisionVmAgent": false,
        "provisionVmConfigAgent": false,
        "ssh": {
          "publicKeys": null
        },
        "timeZone": null
      }
    },
    "provisioningState": "Succeeded",
    "securityProfile": {
      "enableTpm": true,
      "securityType": "TrustedLaunch",
      "uefiSettings": {
        "secureBootEnabled": true
      }
    },
    "status": {
      "powerState": "Running"
    },
    "storageProfile": {
      "dataDisks": [],
      "imageReference": {
        "id": "/subscriptions/myhci-sub/resourceGroups/myhci-rg/providers/Microsoft.AzureStackHCI/marketplacegalleryimages/Win11EntMulti21H2",
        "resourceGroup": "myhci-rg"
      },
      "osDisk": {
        "id": null,
        "osType": "Windows"
      },
      "storagepathId": null
    },
    "vmId": "myhci-tvm-1234567890"
  },
  "resourceGroup": "myhci-rg",
  "systemData": {
    "createdAt": "2023-10-24T19:15:47.152610+00:00",
    "createdBy": "registration@contoso.com",
    "createdByType": "User",
    "lastModifiedAt": "2023-10-24T19:41:05.196469+00:00",
    "lastModifiedBy": "319f651f-7ddb-4fc6-9857-7aef9250bd05",
    "lastModifiedByType": "Application"
  },
  "tags": null,
  "type": "microsoft.azurestackhci/virtualmachineinstances"
}

När den virtuella datorn har skapats kontrollerar du säkerhetstypen för den virtuella datorn som betrodd start.
Kör följande cmdlet för att hitta den virtuella datorns ägarnod:
```
Get-ClusterGroup $vmName
```
Kör följande cmdlet på den virtuella datorns ägarnod:
```
(Get-VM $vmName).GuestStateIsolationType
```
Kontrollera att värdet TrustedLaunch returneras.

Exempel

Det här exemplet visar en virtuell Arc-dator för betrodd start som kör Windows 11 gäst med BitLocker-kryptering aktiverat. Här följer stegen för att öva på scenariot:

Skapa en virtuell Arc-dator med betrodd start som kör ett Windows 11 gästoperativsystem som stöds.
Aktivera BitLocker-kryptering för OS-volymen på Win 11-gästen.

Logga in på Windows 11 gäst och aktivera BitLocker-kryptering (för OS-volymen): I sökrutan i aktivitetsfältet skriver du Hantera BitLocker och väljer den sedan i resultatlistan. Välj Aktivera BitLocker och följ sedan anvisningarna för att kryptera OS-volymen (C:). BitLocker använder vTPM som nyckelskydd för OS-volymen.

Migrera den virtuella datorn till en annan nod i klustret. Kör följande PowerShell-kommando:

Move-ClusterVirtualMachineRole -Name $vmName -Node <destination node name> -MigrationType Shutdown

Kontrollera att den virtuella datorns ägarnod är den angivna målnoden:
```
Get-ClusterGroup $vmName
```
När vm-migreringen är klar kontrollerar du om den virtuella datorn är tillgänglig och BitLocker är aktiverad.
Kontrollera om du kan logga in på den Windows 11 gästen på den virtuella datorn och om BitLocker-kryptering för OS-volymen förblir aktiverad. Om du kan göra detta bekräftar detta att vTPM-tillståndet bevarades under vm-migreringen.

Om vTPM-tillståndet inte bevarades under vm-migreringen skulle start av virtuella datorer ha resulterat i BitLocker-återställning under gäststarten. Du skulle alltså ha blivit ombedd att ange BitLocker-återställningslösenordet när du försökte logga in på Windows 11-gästen. Detta berodde på att startmåtten (som lagras i vTPM) för den migrerade virtuella datorn på målnoden skiljer sig från den ursprungliga virtuella datorns.
Tvinga den virtuella datorn att redundansväxling till en annan nod i klustret.
1. Bekräfta ägarnoden för den virtuella datorn med det här kommandot:
```
Get-ClusterGroup $vmName
```
2. Använd Klusterhanteraren för växling vid fel för att stoppa klustertjänsten på ägarnoden enligt följande: Välj ägarnoden som visas i Klusterhanteraren för växling vid fel.  I rutan Åtgärder till höger väljer du Fler åtgärder och sedan Stoppa klustertjänsten.
3. Om klustertjänsten stoppas på ägarnoden migreras den virtuella datorn automatiskt till en annan tillgänglig nod i klustret. Starta om klustertjänsten efteråt.
När redundansväxlingen är klar kontrollerar du om den virtuella datorn är tillgänglig och BitLocker är aktiverad efter redundansväxling.
Kontrollera att den virtuella datorns ägarnod är den angivna målnoden:
```
Get-ClusterGroup $vmName
```

Nästa steg

Hantera den betrodda startnyckeln för Arc VM-gästtillståndsskydd.

Share via