共用方式為


VM 的 Azure 驗證

> 適用於:Azure Stack HCI 版本 23H2 和更新版本。

Microsoft Azure 提供各種不同的工作負載和功能,其設計目的是要在 Azure 上執行。 Azure Stack HCI 會擴充您從 Azure 取得的許多相同優點,同時在相同的熟悉和高效能內部部署或邊緣環境中執行。

VM 的 Azure 驗證 可讓支援的 Azure 專屬工作負載在雲端外部運作。 這項功能在 Azure 中的 IMDS 證明 服務之後建立模型,是預設在 Azure Stack HCI 23H2 或更新版本上啟用的內建平臺證明服務。 這有助於提供這些 VM 在其他 Azure 環境中運作的保證。

如需 Azure Stack HCI 22H2 版或更早版本上此功能舊版的詳細資訊,請參閱 Azure Stack HCI 上的 Azure 權益

Azure Stack HCI 上可用的權益

VM 的 Azure 驗證可讓您使用這些權益僅適用於 Azure Stack HCI:

工作負載 其內容 如何取得權益
延伸安全性更新 (ESU) 在 Azure Stack HCI 上取得終止支援 SQL 和 Windows Server VM 的安全性更新不需額外費用。
如需詳細資訊,請參閱 Azure Stack HCI 上的免費擴充安全性 匯報 (ESU)
您必須使用最新的服務堆疊 匯報,為執行版本 Windows Server 2012 或更早版本的舊版 VM 啟用舊版 OS 支援
Azure 虛擬桌面 (AVD) AVD 會話主機只能在 Azure 基礎結構上執行。 使用 Azure VM 驗證在 Azure Stack HCI 上啟用您的 Windows 多會話 VM。
AVD 的授權需求仍適用。 請參閱 Azure 虛擬桌面定價
針對執行 4B 更新於 2024 年 4 月 9 日 Windows 11 (22H2:KB5036893,21H2:KB5036894) 或更新版本的 VM 自動啟用。 您必須針對執行版本 Windows 10 多會話的 VM 啟用舊版 OS 支援,並在 2024 年 4 月 9 日發行 4B 更新KB5036892或更新版本。
Windows Server Datacenter:Azure 版本 Azure Edition VM 只能在 Azure 基礎結構上執行。 啟用 您的 Windows Server Azure Edition VM,並使用最新的 Windows Server 創新和其他專屬功能。
仍然適用授權需求。 查看 在 Azure Stack HCI 上授權 Windows Server VM 的方式。
針對執行 Windows Server Azure Edition 2022 的 VM 自動啟用,並在 2024 年 4 月 9 日發行 4B 更新 (KB5036909) 或更新版本。
Azure 原則客體設定 不付費取得 Azure 原則 來賓設定。 此 Arc 延伸模組會啟用作業系統設定的稽核和設定,做為伺服器和 VM 的程式代碼。 Arc 代理程式 1.39 版或更新版本。 請參閱 最新的 Arc 代理程式版本

注意

若要確保持續的功能,請在 2024 年 6 月 17 日將 Azure Stack HCI 上的 VM 更新為最新的累積更新。 此更新是 VM 繼續使用 Azure 權益的必要條件。 如需詳細資訊,請參閱 Azure Stack HCI 部落格文章

架構

本節是選擇性閱讀,並詳細說明 Azure Stack HCI 上的 Azure VM 驗證如何「幕後」運作。

Azure VM 驗證依賴 Azure Stack HCI 上的內建平台證明服務。 此服務會在 Azure 中執行的相同 IMDS 證明 服務之後建立模型,並傳回幾乎完全相同的承載。 主要差異在於其會在內部部署執行,因此可確保 VM 會在 Azure Stack HCI 上而不是 Azure 上執行。

顯示 Azure 驗證架構的圖表。

  1. 默認會開啟 Azure Stack HCI 執行版本 23H2 或更新版本的 Azure VM 驗證。 在伺服器啟動期間,HciSvc 會透過 Hyper-V 套接字產生整合服務,也就是 (VMBus) ,以協助 VM 與伺服器之間的安全通訊。

    舊版OS支援:無法進行Win32 API呼叫或直接查詢整合服務的工作負載必須啟用舊版OS支援。 此設定會將私人和非可路由的 REST 端點提供給相同伺服器上的 VM。

    若要啟用此端點,會在名為 AZSHCI_HOST-IMDS_DO_NOT_MODIFY) 的 Azure Stack HCI (伺服器上設定內部 vSwitch。 之後,VM 必須設定 NIC (AZSHCI_GUEST IMDS_DO_NOT_MODIFY) 並連結至相同的 vSwitch。

    注意

    修改或刪除此參數,NIC 可防止 Azure VM 驗證正常運作。 如果您遇到錯誤,請嘗試關閉,然後重新開啟舊版OS支援。

  2. 每當 Azure Stack HCI 與 Azure 同步時,HciSvc 會從 Azure 取得憑證,並安全地將它儲存在每部伺服器上的記憶體保護區內。

    注意

    每次 Azure Stack HCI 叢集與 Azure 同步時,就會更新憑證,每次更新的有效期限為 30 天。 只要您維護 Azure Stack HCI 的一般 30 天連線需求,就不需要採取任何用戶動作來更新憑證。

  3. 若要啟用優點,取用者工作負載會向伺服器要求證明。 他們嘗試透過 VM 總線傳送要求,或者也可以使用在舊版 OS 支援中設定的網路元件來查詢 REST 端點。 支援 VM-伺服器通訊的這兩種方法,而且可以共存於相同的叢集上。

    注意

    使用舊版 OS 支援時,您必須手動啟用需要啟用權益的 VM 存取權。

    HciSvc 接著會使用儲存的 Azure 憑證傳回已簽署的回應。 取用者會驗證回應並啟用相關聯的權益。

管理 Azure VM 驗證

Azure Stack HCI 23H2 或更新版本中預設會自動啟用 Azure VM 驗證。 下列指示概述使用此功能的必要條件,以及管理權益 (選擇性) 的步驟。

注意

若要啟用擴充安全性 匯報 (ESU) ,您必須執行額外的設定並開啟舊版 OS 支援

主機必要條件

VM 必要條件

您可以使用 Windows Admin Center 或 PowerShell 來管理 Azure VM 驗證,或使用 Azure CLI 或 Azure 入口網站 來檢視其狀態。 下列各節描述各種選項。

檢查 Azure VM 驗證的伺服器狀態

  1. 在 [Windows Admin Center] 中,從頂端下拉功能表中選取 [叢集管理員],流覽至您想要啟用的叢集,然後在 [設定] 底下,選取 [VM 的 Azure 驗證]。

  2. 若要檢查 Azure VM 驗證伺服器狀態:

    • 叢集層級狀態: 主機狀態 會顯示為 [開啟]。

    • 伺服器層級狀態:在儀錶板的 [ 伺服器 ] 索引標籤下,檢查每部伺服器的狀態是否在數據表中顯示為 [作用 中]。

      顯示伺服器狀態的螢幕快照。

針對伺服器進行疑難解答

  • 在 [ 伺服器] 索引標籤下,如果一或多部伺服器顯示為 [已過期]:
    • 如果伺服器未與 Azure 同步處理超過 30 天,其狀態會顯示為 [已過期 ] 或 [ 非使用中]。 選取 [ 與 Azure 同步處理 ] 以排程手動同步處理。

管理在 VM 上啟用的優點

  1. 若要檢查 VM 上已啟用哪些優點,請流覽至 [ VM] 索引 標籤。

  2. 儀錶板會顯示具有下列專案的 VM 數目:

    • 作用中優點:這些 VM 已透過 Azure VM 驗證啟用 Azure 獨佔功能。
    • 非使用中的優點:這些 VM 具有 Azure 專屬功能,需要在啟用之前採取進一步的動作。
    • 未知:我們無法判斷這些 VM 的合格權益,因為 Hyper-V 數據交換已關閉。 請參閱下列疑難解答一節。
    • 不適用的優點:這些 VM 沒有 Azure 專屬功能,因此不需要 Azure VM 驗證。
  3. 下表顯示適用於每個 VM 的 合格權益 。 請參閱 Azure Stack HCI 上可用的權益完整清單

    顯示虛擬機儀錶板和狀態的螢幕快照。

針對 VM 進行疑難解答

  • 在 [ VM] 索引 標籤下,如果一或多個 VM 顯示為 非作用中優點

    • 如果建議的動作是 安裝更新,您可能沒有權益所需的最低 OS 版本。 更新 VM 以符合 工作負載的版本需求
    • 如果建議的動作是 開啟客體服務介面,請選取它並開啟內容窗格以啟用 Hyper-V 客體服務介面。 VM 必須具備這項功能,才能透過 VMbus 與主機通訊。
    • 如果建議的動作與 舊版操作系統支持有關,請參閱 舊版OS支援的疑難解答
  • 在 [ VM] 索引 標籤下,如果一或多個 VM 顯示為 [未知]:

舊版OS支援

對於缺少必要 Hyper-V 功能的舊版 VM, (客體服務介面) 直接與主機通訊,您必須設定傳統網路元件以進行 Azure VM 驗證。 如果您有這些工作負載,例如擴充安全性 匯報 (ESU) ,請遵循本節中的指示來設定舊版 OS 支援。

1.開啟主機上的舊版OS支援

  1. 在 [Windows Admin Center] 中,從頂端下拉功能表中選取 [叢集管理員],流覽至您想要啟動的叢集,然後在 [設定] 下,選取 [VM 的 Azure 驗證]。

  2. [舊版 OS 支援] 區段中,選取 [ 變更狀態]。 在內容窗格中選取 [ 開啟 ]。 此設定也會啟用所有現有 VM 的網路存取。 您必須針對您稍後建立的任何新 VM 手動開啟舊版 OS 支援。

  3. 選取 [變更狀態 ] 以確認。 伺服器可能需要幾分鐘的時間才能反映變更。

  4. 成功開啟舊版OS支援時:

    • 檢查 舊版OS支援 是否顯示為 [開啟]。

    • 在儀錶板的 [ 伺服器] 索引標籤下,檢查每部伺服器的舊版OS支援在資料表中顯示為 [開啟 ]。

      顯示具有舊版OS支援信息的儀錶板螢幕快照。

2.啟用新 VM 的存取

您必須為第一次安裝之後建立的任何新 VM 啟用舊版 OS 網路功能。 若要管理 VM 的存取權,請流覽至 [ VM] 索引 標籤。任何需要舊版OS支援存取的 VM 都會顯示為 非使用中。 針對選取的 VM 或叢集上所有現有的 VM,選取要 設定舊版 OS 網路的 動作。

顯示舊版 VM 儀錶板的螢幕快照。

注意

若要在第 1 代 VM 上成功啟用舊版 OS 支援,必須先關閉 VM 電源,才能新增 NIC。

常見問題集

本節提供使用 Azure 權益的一些常見問題解答。

我可以使用 Azure VM 驗證來啟用哪些 Azure 專屬工作負載?

請參閱此處的完整清單

啟用 Azure VM 驗證需要任何成本嗎?

不是 開啟 Azure VM 驗證不會產生額外費用。

我可以在 Azure Stack HCI 以外的環境上使用 Azure VM 驗證嗎?

不是 Azure VM 驗證是 Azure Stack HCI OS 內建的功能,而且只能在 Azure Stack HCI 上使用。

如果我剛從 22H2 升級至 23H2,而且先前已開啟 Azure 權益功能,是否需要執行任何新的動作?

如果您已針對工作負載升級先前在 Azure Stack HCI 上設定 Azure 權益 的叢集,則升級至 23H2 時不需要執行任何動作。 當您升級時,此功能仍會保持啟用狀態,而且也會開啟舊版OS支援。 不過,如果您想要在 23H2 中透過 VM 總線執行 VM 對主機通訊的改善方式,請確定您具有必要的 主機必要條件VM 必要條件

我剛在叢集上設定 Azure VM 驗證。 如何? 確定 Azure VM 驗證保持作用中?

  • 在大部分情況下,不需要用戶動作。 當 Azure Stack HCI 與 Azure 同步時,Azure Stack HCI 會自動更新 Azure VM 驗證。
  • 不過,如果叢集中斷連線超過 30 天,且 Azure VM 驗證顯示為已過期,您可以使用 PowerShell 手動同步處理,並 Windows Admin Center。 如需詳細資訊,請參閱同步處理 Azure Stack HCI

我部署新的 VM 或刪除 VM 時,會發生什麼情況?

  • 當您部署需要 Azure VM 驗證的新 VM 時,如果 VM 必要 條件正確,系統就會自動啟用它們。

  • 不過,對於使用舊版OS支援的舊版 VM,您可以使用上述指示,手動新增 VM 以存取 Azure VM 驗證。Windows Admin Center 或 PowerShell。

  • 您仍然可以像平常一樣刪除和移轉 VM。 移轉之後,VM 上仍存在 NIC AZSHCI_GUEST IMDS_DO_NOT_MODIFY 。 若要在移轉之前清除 NIC,您可以使用 Windows Admin Center 先前的舊版 OS 支援指示,從 Azure VM 驗證中移除 VM,或者之後可以先移轉並手動刪除 NIC。

我新增或移除伺服器時,會發生什麼情況?

  • 當您新增伺服器時,如果伺服器具有正確的 主機必要條件,系統就會自動啟動它。
  • 如果您使用舊版 OS 支援,您可能需要手動啟用這些伺服器。 在 PowerShell 中執行 Enable-AzStackHCIAttestation [[-ComputerName] <String>] 。 您仍然可以像平常一樣刪除伺服器或從叢集移除伺服器。 從叢集移除之後,vSwitch AZSHCI_HOST IMDS_DO_NOT_MODIFY 仍存在於伺服器上。 如果您打算稍後將伺服器新增回叢集,也可以將其手動移除。

下一步