VM 的 Azure 验证

适用于：Azure Stack HCI 版本 23H2

Microsoft Azure 提供了一系列仅为在 Azure 上运行的差异化工作负载和功能。 Azure Stack HCI 扩展从 Azure 获取的许多相同权益，同时在熟悉的相同高性能本地或边缘环境中运行。

VM 的 Azure 验证使受支持的 Azure 独占工作负荷能够在云外部工作。 此功能在 Azure 中的 IMDS 证明服务之后建模，是默认在 Azure Stack HCI 23H2 或更高版本上启用的内置平台证明服务。 这有助于为这些 VM 提供在其他 Azure 环境中运行的保证。

有关 Azure Stack HCI 版本 22H2 或更高版本上此功能的早期版本的详细信息，请参阅 Azure Stack HCI 上的 Azure 权益。

Azure Stack HCI 上提供的优势

VM 的 Azure 验证使你能够使用这些权益仅在 Azure Stack HCI 上可用：

工作负载	介绍	如何获取权益
扩展安全更新 (ESU)	对于 Azure Stack HCI 上的 SQL 和 Windows Server VM，无需额外付费即可获取安全更新。 有关详细信息，请参阅 Azure Stack HCI 上的免费扩展安全更新（ESU）。	必须使用最新服务堆栈更新为运行 Windows Server 2012 或更高版本的旧 VM 启用旧版 OS 支持。
Azure 虚拟桌面 (AVD)	AVD 会话主机只能在 Azure 基础结构上运行。 使用 Azure VM 验证在 Azure Stack HCI 上激活 Windows 多会话 VM。 AVD 的许可要求仍适用。 请参阅 Azure 虚拟桌面定价。	为运行版本 Windows 11 多会话的 VM 自动激活，2024 年 4 月 9 日发布的 4B 更新（22H2： KB5036893,21H2： KB5036894）或更高版本。 必须为运行版本 Windows 10 多会话且 2024 年 4 月 9 日发布的 4B 更新的 VM 启用旧版 OS 支持，KB5036892或更高版本。
Windows Server Datacenter：Azure Edition	Azure Edition VM 只能在 Azure 基础结构上运行。 激活 Windows Server Azure Edition VM，并使用最新的 Windows Server 创新和其他独占功能。 许可要求仍适用。 查看在 Azure Stack HCI 上许可 Windows Server VM 的方法。	在 2024 年 4 月 9 日（KB5036909）或更高版本上发布了 4B 更新的运行 Windows Server Azure Edition 2022 的 VM 自动激活。
Azure 更新管理器	不付费获取 Azure 更新管理器 。 此服务提供 SaaS 解决方案，用于管理和管理 Azure Stack HCI 上 VM 的软件更新。	自动适用于 Arc VM。 必须为非 Arc VM 启用 Azure 验证。 有关详细信息，请参阅 Azure 更新管理器常见问题解答。
Azure Policy 来宾配置	不付费获取 Azure Policy 来宾配置 。 此 Arc 扩展允许审核和配置 OS 设置作为服务器和 VM 的代码。	Arc 代理版本 1.39 或更高版本。 请参阅 最新的 Arc 代理版本。

注意

为确保持续功能，请在 2024 年 6 月 17 日之前将 Azure Stack HCI 上的 VM 更新为最新的累积更新。 此更新对于 VM 继续使用 Azure 权益至关重要。 有关详细信息， 请参阅 Azure Stack HCI 博客文章 。

管理 Azure VM 验证

默认情况下，Azure Stack HCI 23H2 或更高版本中会自动启用 Azure VM 验证。 以下说明概述了使用此功能的先决条件以及管理权益的步骤（可选）。

注意

若要启用扩展安全更新（ESU），必须执行其他设置并启用 旧版 OS 支持。

主机先决条件

• 确保有权访问 Azure Stack HCI 版本 23H2 系统。 所有服务器都必须联机、注册和群集部署。 有关详细信息，请参阅使用 Arc 注册服务器，并参阅通过Azure 门户部署。
• 安装 Hyper-V 和 RSAT-Hyper-V-Tools。
• （可选）如果使用 Windows Admin Center，则必须安装群集管理器扩展（版本 2.319.0）或更高版本。

VM 先决条件

• 请确保更新 VM。 请参阅工作负载的版本要求。

• 打开 Hyper-V 来宾服务接口。 请参阅 Windows Admin Center 或 PowerShell 的说明。

可以使用 Windows Admin Center 或 PowerShell 管理 Azure VM 验证，也可以使用 Azure CLI 或 Azure 门户查看其状态。 以下部分详细介绍了每种选项。

Azure 门户

1. 在 Azure Stack HCI 群集资源页面中，导航到“配置”选项卡。

2. 在 VM 的功能 Azure 验证下，查看主机证明状态。

   

Azure CLI

Azure CLI 可用于在 Windows、macOS 和 Linux 环境中安装。 也可以在 Azure Cloud Shell 中运行。 本部分介绍如何在 Azure Cloud Shell 中使用 Bash。 有关详细信息，请参阅 Azure Cloud Shell 快速入门。

启动 Azure Cloud Shell 并使用 Azure CLI 检查 Azure VM 验证，请执行以下步骤：

1. 设置订阅、资源组、群集名称的参数

   subscription="00000000-0000-0000-0000-000000000000" # Replace with your subscription ID
   resourceGroup="hcicluster-rg" # Replace with your resource group name
   clusterName="HCICluster" # Replace with your cluster name
   
   az account set --subscription "${subscription}"
   

2. 若要查看群集上的 Azure VM 验证状态，请运行以下命令：

   az stack-hci cluster list \
   --resource-group "${resourceGroup}" \
   --query "[?name=='${clusterName}'].{Name:name, AzureBenefitsHostAttestation:reportedProperties.imdsAttestation}" \
   -o table
   

Windows 管理中心

检查 Azure VM 验证的服务器状态

1. 在 Windows Admin Center 中，从顶部下拉菜单中选择群集管理器，导航到要激活的群集，然后在“设置”下，为 VM 选择 Azure 验证。

2. 若要检查 Azure VM 验证服务器状态，请执行以下操作：

   • 群集级别状态： 主机状态 显示为 “打开”。

   • 服务器级别状态：在仪表板中的“服务器”选项卡下，检查每个服务器的状态是否显示为表中的“活动”。

     

排查服务器问题

• 在 “服务器 ”选项卡下，如果一个或多个服务器显示为 “已过期”：
  • 如果服务器未与 Azure 同步超过 30 天，则其状态显示为 “已过期 ”或 “非活动”。 选择“ 与 Azure 同步”以计划手动同步。

管理在 VM 上激活的优势

1. 若要检查 VM 上激活哪些权益，请导航到 “VM ”选项卡。

2. 仪表板显示具有以下项的 VM 数：

   • 活动优势：这些 VM 通过 Azure VM 验证激活了 Azure 独占功能。
   • 非活动优势：这些 VM 具有需要进一步操作才能激活的 Azure 独占功能。
   • 未知：无法确定这些 VM 的合格权益，因为 Hyper-V 数据交换已关闭。 请参阅以下故障排除部分。
   • 没有适用的优势：这些 VM 没有 Azure 独占功能，因此不需要 Azure VM 验证。

3. 该表显示 适用于每个 VM 的合格权益 。 请参阅 Azure Stack HCI 上可用的权益的完整列表。

   

排查 VM 问题

• 在“VM”选项卡下，如果一个或多个 VM 显示为“非活动”优势：

  • 如果建议的操作是 安装更新，则可能没有权益所需的最低 OS 版本。 更新 VM 以满足 工作负荷的版本要求。
  • 如果建议的操作是 打开来宾服务接口，请选择它并打开上下文窗格以启用 Hyper-V 来宾服务接口。 VM 需要此功能才能通过 VMbus 与主机通信。
  • 如果建议的操作涉及旧版 OS 支持，请参阅旧版 OS 支持的故障排除。

• 在 “VM ”选项卡下，如果一个或多个 VM 显示为 “未知”：

  • 如果要确定这些 VM 可用的权益，可以通过检查 Azure Stack HCI 上可用的权益的完整列表来手动执行此操作，或者 Windows Admin Center 可以显示此信息。 若要通过 Windows Admin Center 访问信息，请选择标记为“打开 Hyper-V 数据交换”的操作，为 VM 启用 Hyper-V 数据交换（KVP）。

PowerShell

检查 Azure VM 验证的服务器状态

• Azure VM 验证设置成功后，可以查看主机状态。 通过运行以下命令，检查群集属性“IMDS 证明”：

  Get-AzureStackHCI
  

• 或者，若要查看服务器的 Azure VM 验证状态，请运行以下命令：

  Get-AzureStackHCIAttestation [[-ComputerName] <string>]
  

排查服务器问题

• 如果一个或多个服务器的 Azure VM 验证尚未与 Azure 同步并续订，则可能显示为 “已过期 ”或 “非活动”。 计划手动同步：

  Sync-AzureStackHCI
  

管理在 VM 上激活的优势

• 若要检查对 VM 的 Azure VM 验证的访问权限，请运行以下命令：

  Get-AzStackHCIVMAttestation
  

  注意

  v2 支持的 VM 可以使用 VMBus 与服务器通信。 相反， v1 支持的 VM 配置了旧版 OS 支持，并且可以通过 REST 访问 Azure VM 验证。 如果 VM 同时支持 v1 和 v2，则主要使用 v2 方法（即 VMBus），但如果 v2 遇到问题，则可以回退到 v1。

排查 VM 问题

• 若要为 VM 设置对 Azure VM 验证的访问权限，可以启用 Hyper-V 来宾服务接口。

  若要检查 Hyper-V 来宾服务接口是否已启用，请运行：

  Get-VMIntegrationService [[-VMName] <VMName>] -Name "Guest Service Interface"
  

• 若要打开 Hyper-V 来宾服务接口，请执行以下操作：

  Enable-VMIntegrationService [[-VMName] <VMName>] -Name "Guest Service Interface"
  

• 若要检查 VM 是否可以访问主机上的 Azure VM 验证，请在主机上运行以下命令：

  Invoke-RestMethod -Headers @{"Metadata"="true"} -Method GET -Uri "http://127.0.0.1:42542/metadata/attested/document?api-version=2018-10-01" –usedefaultcredentials
  

旧版 OS 支持

对于缺少所需的 Hyper-V 功能（来宾服务接口）来与主机直接通信的旧 VM，必须配置用于 Azure VM 验证的传统网络组件。 如果有这些工作负载（如扩展安全更新（ESU），请按照本部分中的说明设置旧版 OS 支持。

Azure 门户

目前无法查看Azure 门户的旧版 OS 支持。

Azure CLI

Azure CLI 可用于在 Windows、macOS 和 Linux 环境中安装。 也可以在 Azure Cloud Shell 中运行。 本部分介绍如何在 Azure Cloud Shell 中使用 Bash。 有关详细信息，请参阅 Azure Cloud Shell 快速入门。

启动 Azure Cloud Shell 并使用 Azure CLI 通过以下步骤检查 Azure VM 验证：

1. 从订阅、资源组和群集名称设置参数：

   subscription="00000000-0000-0000-0000-000000000000" # Replace with your subscription ID
   resourceGroup="hcicluster-rg" # Replace with your resource group name
   clusterName="HCICluster" # Replace with your cluster name
   
   az account set --subscription "${subscription}"
   

2. 若要查看群集上的旧版 OS 支持状态，请运行以下命令：

   az stack-hci cluster list \
   --resource-group "${resourceGroup}" \
   --query "[?name=='${clusterName}'].{Name:name, AzureBenefitsHostAttestation:reportedProperties.supportedCapabilities}" \
   -o table
   

Windows 管理中心

1.在主机上启用旧版 OS 支持

1. 在 Windows Admin Center 中，从顶部下拉菜单中选择群集管理器，导航到要激活的群集，然后在“设置”下，选择 VM 的 Azure 验证。

2. 在旧版 OS 支持的部分中，选择“更改状态”。 在上下文窗格中选择“ 打开 ”。 此设置还允许对所有现有 VM 进行网络访问。 必须手动为以后创建的任何新 VM 启用旧版 OS 支持。

3. 选择“ 更改状态 ”以确认。 服务器可能需要几分钟才能反映更改。

4. 成功启用旧版 OS 支持后：

   • 检查旧版 OS 支持是否显示为“开”。

   • 在 仪表板中的“服务器 ”选项卡下，检查每个服务器的旧版 OS 支持是否显示为 “开” 表。

     

2.为新 VM 启用访问权限

必须为第一次设置后创建的任何新 VM 启用旧版 OS 网络。 若要管理 VM 的访问权限，请导航到 “VM ”选项卡。需要旧版 OS 支持访问权限的任何 VM 都显示为 “非活动”。 选择用于为所选 VM 或群集上所有现有 VM 设置旧版 OS 网络的操作。

注意

若要在第 1 代 VM 上成功启用旧版 OS 支持，必须先关闭 VM，才能添加 NIC。

PowerShell

1.在主机上启用旧版 OS 支持

• 从 Azure Stack HCI 群集上提升的 PowerShell 窗口运行以下命令：

  Enable-AzStackHCIAttestation
  

• 或者，如果要在设置中添加所有现有 VM，则可以运行以下命令：

  Enable-AzStackHCIAttestation -AddVM
  

• 检查是否启用了旧版 OS 支持：

  Get-AzureStackHCIAttestation [[-ComputerName] <string>]
  

排查服务器问题

• 若要关闭和重置群集上的旧版 OS 支持，请运行以下命令：

  Disable-AzStackHCIAttestation -RemoveVM
  

2.为 VM 启用访问权限

• 若要为所选 VM 配置网络访问，请在 Azure Stack HCI 群集上运行以下命令：

  Add-AzStackHCIVMAttestation [-VMName]
  

• 或者，若要添加所有现有 VM，请运行以下命令：

  Add-AzStackHCIVMAttestation -AddAll
  

• 获取有权访问旧版 OS 支持的 VM 的列表：

  Get-AzStackHCIVMAttestation
  

  注意

  若要在第 1 代 VM 上成功启用旧版 OS 支持，必须先关闭 VM，才能添加 NIC。

排查 VM 问题

• 若要删除对所选 VM 的旧版 OS 支持，请执行以下操作：

  Remove-AzStackHCIVMAttestation -VMName <string>
  

  或者，若要移除所有现有 VM 的访问权限，请执行以下操作：

  Remove-AzStackHCIVMAttestation -RemoveAll
  

• 若要检查 VM 是否可以访问主机上的旧版 OS 支持，请在 VM 上运行以下命令：

  Invoke-RestMethod -Headers @{"Metadata"="true"} -Method GET -Uri http://169.254.169.253:80/metadata/attested/document?api-version=2018-10-01
  

常见问题解答

本部分提供有关使用 Azure 权益的一些常见问题的解答。

可以使用 Azure VM 验证启用哪些 Azure 独占工作负荷？

请参阅此处的完整列表。

启用 Azure VM 验证是否需要花费任何费用？

否。 启用 Azure VM 验证不会产生额外的费用。

是否可以在 Azure Stack HCI 以外的环境中使用 Azure VM 验证？

否。 Azure VM 验证是 Azure Stack HCI OS 中内置的功能，只能在 Azure Stack HCI 上使用。

如果我刚刚从 22H2 升级到 23H2，并且我以前启用了 Azure 权益功能，是否需要执行任何新操作？

如果升级了以前 为工作负载设置的 Azure Stack HCI 上的 Azure 权益的群集，则升级到 23H2 时无需执行任何操作。 升级时，该功能仍处于启用状态，旧版 OS 支持也处于打开状态。 但是，如果要使用改进的方法来通过 23H2 中的 VM 总线进行 VM 到主机通信，请确保具有所需的 主机先决条件 和 VM 先决条件。

我只是在群集上设置 Azure VM 验证。 如何实现确保 Azure VM 验证保持活动状态？

• 在大多数情况下，无需用户操作。 Azure Stack HCI 在与 Azure 同步时自动续订 Azure VM 验证。
• 但是，如果群集断开连接超过 30 天，Azure VM 验证显示为 “已过期”，则可以使用 PowerShell 和 Windows Admin Center 手动同步。 有关详细信息，请参阅同步 Azure Stack HCI。

部署新 VM 或删除 VM 时会发生什么情况？

• 部署需要 Azure VM 验证的新 VM 时，如果 VM 满足正确的 VM 先决条件，系统会自动激活这些 VM。

• 但是，对于使用旧版 OS 支持的旧 VM，可以使用前面的说明手动添加新 VM 以使用 Windows Admin Center 或 PowerShell 访问 Azure VM 验证。

• 仍可以像平常一样删除和迁移 VM。 迁移后，VM 上仍存在 NIC AZSHCI_GUEST IMDS_DO_NOT_MODIFY 。 若要在迁移之前清理 NIC，可以使用 Windows Admin Center 或 PowerShell 从 Azure VM 验证中删除 VM，并使用上述旧版 OS 支持说明删除 VM，也可以先迁移，然后手动删除 NIC。

添加或移除服务器时会发生什么情况？

• 添加服务器时，如果服务器具有正确的 主机先决条件，则会自动激活该服务器。
• 如果使用旧版 OS 支持，可能需要手动启用这些服务器。 在 PowerShell 中运行 Enable-AzStackHCIAttestation [[-ComputerName] <String>] 。 仍可以像平常一样删除服务器或从群集中移除它们。 从群集中删除后，vSwitch AZSHCI_HOST IMDS_DO_NOT_MODIFY 仍存在于服务器上。 如果计划稍后将服务器添加回群集，或者可以手动将其删除，则可以将其保留。

后续步骤

• Azure Stack HCI 上的扩展安全更新 （ESU）。
• Azure Stack HCI 概述。
• Azure Stack HCI 常见问题解答。