Introduktion till betrodd start för virtuella Azure Arc-datorer på Azure Stack HCI, version 23H2
Gäller för: Azure Stack HCI, version 23H2
Den här artikeln introducerar betrodd start för virtuella Azure Arc-datorer (VM) på Azure Stack HCI, version 23H2. Du kan skapa en virtuell Arc-dator med betrodd start med Hjälp av Azure-portalen eller med hjälp av Azure Command-Line Interface (CLI).
Introduktion
Betrodd start för virtuella Azure Arc-datorer stöder säker start, virtuell betrodd plattformsmodul (vTPM) och vTPM-tillståndsöverföring när en virtuell dator migreras eller redundansväxlar i ett kluster.
Betrodd start är en säkerhetstyp som kan anges när du skapar virtuella Arc-datorer på Azure Stack HCI. Mer information finns i Betrodd start för virtuella Azure Arc-datorer på Azure Stack HCI.
Funktioner och fördelar
| Kapacitet | Förmån |
|---|---|
| Säker start | Hjälper till att minska risken för skadlig kod (rootkits) under starten genom att kontrollera att startkomponenter är signerade av betrodda utgivare. |
| vTPM | Virtualiserad version av en maskinvaru-TPM som fungerar som ett dedikerat valv för nycklar, certifikat och hemligheter. |
| vTPM-tillståndsöverföring | Bevarar vTPM när den virtuella datorn migrerar eller redundansväxlar i ett kluster. |
| Virtualiseringsbaserad säkerhet (VBS) | Gäst på den virtuella datorn kan skapa isolerade minnesregioner med hjälp av VBS-stöd. |
Kommentar
Integritetsverifiering av vm-gäststart är inte tillgängligt.
Vägledning
IgvmAgent är en komponent som är installerad på alla noder i Azure Stack HCI-klustret. Det ger stöd för isolerade virtuella datorer, till exempel betrodda startdatorer i Arc.
Som en del av skapandet av en betrodd start av den virtuella Arc-datorn skapar Hyper-V VM-filer på disken för att lagra den virtuella datorns tillstånd. Som standard är åtkomsten till de virtuella datorfilerna begränsad till värdserveradministratörer. Värdadministratörer måste se till att platsen där de virtuella datorfilerna lagras alltid förblir korrekt åtkomstbegränsad.
Nätverkstrafiken för virtuell dator med direktmigrering är inte krypterad. Vi rekommenderar starkt att du aktiverar en nätverksnivåkrypteringsteknik som IPsec för att skydda nätverkstrafiken för direktmigrering.
Avbildningar av gästoperativsystem
Följande VM-gästoperativsystemavbildningar från Azure Marketplace stöds. Vm-avbildningen kan skapas med Hjälp av Azure-portalen eller Azure CLI.
Mer information finns i Skapa Azure Stack HCI VM-avbildning med Hjälp av Azure Marketplace.
| Name | Publisher | Erbjudande | SKU | Versionsnummer |
|---|---|---|---|---|
| Windows 11 Enterprise multi-session, version 22H2 – Gen2 | microsoftwindowsdesktop | windows-11 | win11-22h2-avd | 22621.2428.231001 |
| Windows 11 Enterprise multi-session, version 22H2 + Microsoft 365 aplikacije (förhandsversion) - Gen2 | microsoftwindowsdesktop | windows11förhandsvy | win11-22h2-avd-m365 | 22621.382.220810 |
| Windows 11 Enterprise multi-session, version 21H2 – Gen2 | microsoftwindowsdesktop | windows-11 | win11-21h2-avd | 22000.2538.231001 |
| Windows 11 Enterprise multi-session, version 21H2 + Microsoft 365 aplikacije – Gen2 | microsoftwindowsdesktop | office-365 | win10-21h2-avd-m365-g2 | 19044.3570.231010 |
Kommentar
Vm-gästavbildningar som hämtas utanför Azure Marketplace stöds inte.
Nästa steg
- Distribuera virtuella Arc-datorer med betrodd start.