VM 的 Azure 驗證

適用於：Azure Stack HCI 版本 23H2

Microsoft Azure 提供一系列不同的工作負載和功能，其設計目的是只在 Azure 上執行。 Azure Stack HCI 可擴充您從 Azure 取得的許多相同優點，同時在相同熟悉且高效能的內部部署或邊緣環境中執行。

VM 的 Azure 驗證可讓支援的 Azure 專屬工作負載在雲端外部運作。 這項功能是以 Azure 中的 IMDS 證明 服務為模型，是 Azure Stack HCI 23H2 或更新版本預設啟用的內建平臺證明服務。 這有助於提供這些 VM 在其他 Azure 環境中運作的保證。

如需有關 Azure Stack HCI 22H2 版或更早版本上此功能的詳細資訊，請參閱 Azure Stack HCI 上的 Azure 權益。

Azure Stack HCI 上可用的優點

VM 的 Azure 驗證可讓您使用這些優點，僅適用於 Azure Stack HCI：

工作負載	內容	如何取得權益
延伸安全性更新 （ESU）	在 Azure Stack HCI 上取得終止支援的 SQL 和 Windows Server VM 不需額外費用的安全性更新。 如需詳細資訊，請參閱 Azure Stack HCI 上的免費延伸安全性更新 （ESU）。	您必須使用最新服務堆疊更新，為執行 Windows Server 2012 或更早版本的舊版 VM 啟用舊版 OS 支援。
Azure 虛擬桌面 (AVD)	AVD 會話主機只能在 Azure 基礎結構上執行。 使用 Azure VM 驗證在 Azure Stack HCI 上啟用 Windows 多會話 VM。 AVD 的授權需求仍適用。 請參閱 Azure 虛擬桌面定價。	在 2024 年 4 月 9 日發行的 4B 更新版本 Windows 11 多會話的 VM 上自動啟用 （22H2： KB5036893， 21H2： KB5036894） 或更新版本。 您必須針對執行 Windows 10 多工作階段版本的 VM 啟用 舊版作業系統支援 ，並在 2024 年 4 月 9 日發行 4B 更新KB5036892或更新版本。
Windows Server Datacenter：Azure Edition	Azure Edition VM 只能在 Azure 基礎結構上執行。 啟用您的 Windows Server Azure Edition VM，並使用最新的 Windows Server 創新和其他專屬功能。 授權需求仍適用。 請參閱在 Azure Stack HCI 上授權 Windows Server VM 的方式。	針對執行 Windows Server Azure Edition 2022 的 VM 自動啟用，並在 2024 年 4 月 9 日發行 4B 更新版本 （KB5036909） 或更新版本。
Azure 原則客體設定	不付費取得 Azure 原則 來賓設定。 此 Arc 延伸模組會啟用作業系統設定的稽核和設定，做為伺服器和 VM 的程式代碼。	Arc 代理程式 1.39 版或更新版本。 請參閱 最新的 Arc 代理程式版本。

注意

若要確保持續的功能，請在 2024 年 6 月 17 日之前，將 Azure Stack HCI 上的 VM 更新為最新的累積更新。 此更新對於 VM 繼續使用 Azure 權益至關重要。 如需詳細資訊， 請參閱 Azure Stack HCI 部落格文章 。

管理 Azure VM 驗證

Azure Stack HCI 23H2 或更新版本中預設會自動啟用 Azure VM 驗證。 下列指示概述使用此功能的必要條件，以及管理權益的步驟（選擇性）。

注意

若要啟用延伸安全性更新 （ESU），您必須執行其他設定並開啟 舊版 OS 支援。

主機必要條件

• 請確定您可以存取 Azure Stack HCI 23H2 版系統。 所有伺服器都必須在在線、註冊和叢集部署。 如需詳細資訊，請參閱使用Arc註冊您的伺服器，並參閱透過Azure 入口網站部署。
• 安裝 Hyper-V 和 RSAT-Hyper-V-Tools。
• （選擇性）如果您使用 Windows Admin Center，則必須安裝叢集管理員擴充功能（2.319.0 版）或更新版本。

VM 必要條件

• 請務必更新 VM。 請參閱工作負載的版本需求。

• 開啟 Hyper-V 客體服務介面。 請參閱 Windows Admin Center 或 PowerShell 的指示。

您可以使用 Windows Admin Center 或 PowerShell 來管理 Azure VM 驗證，或使用 Azure CLI 或 Azure 入口網站 來檢視其狀態。 下列各節說明每個選項。

Azure 入口網站

1. 在您的 Azure Stack HCI 叢集資源頁面中，流覽至 [ 設定 ] 索引標籤。

2. 在 VM 的功能 Azure 驗證下，檢視主機證明狀態。

   

Azure CLI

Azure CLI 可在 Windows、macOS 和 Linux 環境中安裝。 也可以在 Azure Cloud Shell 中執行。 本節說明如何在 Azure Cloud Shell 中使用 Bash。 如需詳細資訊，請參閱 Azure Cloud Shell 快速入門。

啟動 Azure Cloud Shell 並使用 Azure CLI 來檢查 Azure VM 驗證，請遵循下列步驟：

1. 從您的訂用帳戶、資源群組和叢集名稱設定參數

   subscription="00000000-0000-0000-0000-000000000000" # Replace with your subscription ID
   resourceGroup="hcicluster-rg" # Replace with your resource group name
   clusterName="HCICluster" # Replace with your cluster name
   
   az account set --subscription "${subscription}"
   

2. 若要檢視叢集上的 Azure VM 驗證狀態，請執行下列命令：

   az stack-hci cluster list \
   --resource-group "${resourceGroup}" \
   --query "[?name=='${clusterName}'].{Name:name, AzureBenefitsHostAttestation:reportedProperties.imdsAttestation}" \
   -o table
   

Windows Admin Center

檢查 Azure VM 驗證的伺服器狀態

1. 在 Windows Admin Center 中，從頂端下拉功能表中選取 [叢集管理員]，流覽至您想要啟動的叢集，然後在 [設定] 下選取 [VM 的 Azure 驗證]。

2. 若要檢查 Azure VM 驗證伺服器狀態：

   • 叢集層級狀態： 主機狀態 顯示為 [開啟]。

   • 伺服器層級狀態：在儀錶板的 [伺服器] 索引標籤下，檢查每個伺服器的狀態是否在數據表中顯示為 [作用中]。

     

針對伺服器進行疑難解答

• 在 [ 伺服器] 索引標籤下，如果一或多部伺服器顯示為 [已過期]：
  • 如果伺服器尚未與 Azure 同步 30 天以上，其狀態會顯示為 [已過期] 或 [非使用中]。 選取 [ 與 Azure 同步] 以排程手動同步處理。

管理在 VM 上啟用的優點

1. 若要檢查 VM 上啟用哪些優點，請流覽至 [VM] 索引標籤。

2. 儀錶板會顯示具有下列專案的 VM 數目：

   • 主動權益：這些 VM 透過 Azure VM 驗證啟用 Azure 專屬功能。
   • 非使用中的優點：這些 VM 具有在啟用之前需要進一步動作的 Azure 專屬功能。
   • 未知：我們無法判斷這些 VM 的合格權益，因為 Hyper-V 數據交換已關閉。 請參閱下列疑難解答一節。
   • 沒有適用的優點：這些 VM 沒有 Azure 專屬功能，因此不需要 Azure VM 驗證。

3. 下表顯示 適用於每個 VM 的合格權益 。 請參閱 Azure Stack HCI 上可用的權益完整清單。

   

針對 VM 進行疑難解答

• 在 [VM] 索引標籤下，如果一或多個 VM 顯示為非使用中的優點：

  • 如果建議的動作是 安裝更新，您可能沒有權益所需的最低 OS 版本。 更新 VM 以符合 工作負載的版本需求。
  • 如果建議的動作是 開啟客體服務介面，請選取它並開啟內容窗格以啟用 Hyper-V 客體服務介面。 VM 必須具備這項功能，才能透過 VMbus 與主機通訊。
  • 如果建議的動作與舊版OS支援有關，請參閱針對舊版OS支援進行疑難解答。

• 在 [VM] 索引標籤下，如果一或多個 VM 顯示為 [未知]：

  • 如果您想要判斷這些 VM 可用的權益，您可以檢查 Azure Stack HCI 上可用的權益完整清單，或 Windows Admin Center 可以手動執行這項操作。 若要透過 Windows Admin Center 存取資訊，請選取標示為 [開啟 Hyper-V 數據交換] 的動作，為您的 VM 啟用 Hyper-V 數據交換（KVP）。

PowerShell

檢查 Azure VM 驗證的伺服器狀態

• 當 Azure VM 驗證設定成功時，您可以檢視主機狀態。 執行下列命令來檢查叢集屬性 IMDS 證明 ：

  Get-AzureStackHCI
  

• 或者，若要檢視伺服器的 Azure VM 驗證狀態，請執行下列命令：

  Get-AzureStackHCIAttestation [[-ComputerName] <string>]
  

針對伺服器進行疑難解答

• 如果一或多部伺服器的 Azure VM 驗證尚未與 Azure 同步並更新，它可能會顯示為 「已過期」或「非作用中」。 排程手動同步處理：

  Sync-AzureStackHCI
  

管理在 VM 上啟用的優點

• 若要檢查 VM 的 Azure VM 驗證存取權，請執行下列命令：

  Get-AzStackHCIVMAttestation
  

  注意

  v2 支援的 VM 可以使用 VMBus 與伺服器通訊。 相反地， v1 支援的 VM 會以舊版 OS 支援進行設定，並可透過 REST 存取 Azure VM 驗證。 如果 VM 同時支援 v1 和 v2，則主要使用 v2 方法（亦即 VMBus），但如果 v2 發生問題，它可以回復為 v1。

針對 VM 進行疑難解答

• 若要設定 VM 的 Azure VM 驗證存取權，您可以啟用 Hyper-V 客體服務介面。

  若要檢查已啟用 Hyper-V 客體服務介面，請執行：

  Get-VMIntegrationService [[-VMName] <VMName>] -Name "Guest Service Interface"
  

• 若要開啟 Hyper-V 客體服務介面：

  Enable-VMIntegrationService [[-VMName] <VMName>] -Name "Guest Service Interface"
  

• 若要檢查 VM 是否可以存取主機上的 Azure VM 驗證，請在主機上執行下列命令：

  Invoke-RestMethod -Headers @{"Metadata"="true"} -Method GET -Uri "http://127.0.0.1:42542/metadata/attested/document?api-version=2018-10-01" –usedefaultcredentials
  

舊版OS支援

對於缺少與主機直接通訊所需 Hyper-V 功能（客體服務介面）的較舊 VM，您必須設定 Azure VM 驗證的傳統網路元件。 如果您有這些工作負載，例如延伸安全性更新 （ESU），請遵循本節中的指示來設定舊版 OS 支援。

Azure 入口網站

目前您無法從 Azure 入口網站 檢視舊版OS支援。

Azure CLI

Azure CLI 可在 Windows、macOS 和 Linux 環境中安裝。 也可以在 Azure Cloud Shell 中執行。 本節說明如何在 Azure Cloud Shell 中使用 Bash。 如需詳細資訊，請參閱 Azure Cloud Shell 快速入門。

請依照下列步驟啟動 Azure Cloud Shell 並使用 Azure CLI 來檢查 Azure VM 驗證：

1. 從您的訂用帳戶、資源群組和叢集名稱設定參數：

   subscription="00000000-0000-0000-0000-000000000000" # Replace with your subscription ID
   resourceGroup="hcicluster-rg" # Replace with your resource group name
   clusterName="HCICluster" # Replace with your cluster name
   
   az account set --subscription "${subscription}"
   

2. 若要檢視叢集上的舊版OS支援狀態，請執行下列命令：

   az stack-hci cluster list \
   --resource-group "${resourceGroup}" \
   --query "[?name=='${clusterName}'].{Name:name, AzureBenefitsHostAttestation:reportedProperties.supportedCapabilities}" \
   -o table
   

Windows Admin Center

1.開啟主機上的舊版OS支援

1. 在 Windows Admin Center 中，從頂端下拉功能表中選取 [叢集管理員]，流覽至您要啟動的叢集，然後在 [設定] 底下，選取 [VM 的 Azure 驗證]。

2. 在 [舊版 OS 支援] 區段中，選取 [變更狀態]。 在內容窗格中選取 [開啟 ]。 此設定也會啟用所有現有 VM 的網路存取。 您必須針對您稍後建立的任何新 VM 手動開啟舊版 OS 支援。

3. 選取 [ 變更狀態 ] 以確認。 伺服器可能需要幾分鐘的時間才會反映變更。

4. 成功開啟舊版OS支援時：

   • 檢查舊版OS支援是否顯示為 [開啟]。

   • 在儀錶板的 [ 伺服器 ] 索引標籤下，檢查每個伺服器的舊版OS支援是否顯示為 [開啟 ] 資料表。

     

2.啟用新 VM 的存取

您必須為第一次設定之後建立的任何新 VM 啟用舊版 OS 網路功能。 若要管理 VM 的存取權，請流覽至 [VM] 索引標籤。任何需要舊版OS支援存取權的VM都會顯示為非使用中。 選取動作來 設定所選 VM 的舊版 OS 網路 ，或針對叢集上所有現有的 VM。

注意

若要在第 1 代 VM 上成功啟用舊版 OS 支援，必須先關閉 VM 電源，才能新增 NIC。

PowerShell

1.開啟主機上的舊版OS支援

• 從 Azure Stack HCI 叢集上提升權限的 PowerShell 視窗執行下列命令：

  Enable-AzStackHCIAttestation
  

• 或者，如果您想要在安裝時新增所有現有的 VM，您可以執行下列命令：

  Enable-AzStackHCIAttestation -AddVM
  

• 檢查是否已開啟舊版 OS 支援：

  Get-AzureStackHCIAttestation [[-ComputerName] <string>]
  

針對伺服器進行疑難解答

• 若要關閉和重設叢集上的舊版OS支援，請執行下列命令：

  Disable-AzStackHCIAttestation -RemoveVM
  

2.啟用 VM 的存取

• 若要設定所選 VM 的網路存取，請在 Azure Stack HCI 叢集上執行下列命令：

  Add-AzStackHCIVMAttestation [-VMName]
  

• 或者，若要新增所有現有的 VM，請執行下列命令：

  Add-AzStackHCIVMAttestation -AddAll
  

• 取得可存取舊版OS支援的 VM 清單：

  Get-AzStackHCIVMAttestation
  

  注意

  若要在第 1 代 VM 上成功啟用舊版 OS 支援，必須先關閉 VM 電源，才能新增 NIC。

針對 VM 進行疑難解答

• 若要移除所選 VM 的舊版 OS 支援存取權：

  Remove-AzStackHCIVMAttestation -VMName <string>
  

  或者，若要移除所有現有 VM 的存取權：

  Remove-AzStackHCIVMAttestation -RemoveAll
  

• 若要檢查 VM 是否可以存取主機上的舊版 OS 支援，請在 VM 上執行下列命令：

  Invoke-RestMethod -Headers @{"Metadata"="true"} -Method GET -Uri http://169.254.169.253:80/metadata/attested/document?api-version=2018-10-01
  

常見問題集

本節提供使用 Azure 權益的一些常見問題解答。

可以使用 Azure VM 驗證啟用哪些 Azure 專屬工作負載？

完整清單請參閱這裡。

啟用 Azure VM 驗證的成本為何？

否。 開啟 Azure VM 驗證不會產生額外費用。

我可以在 Azure Stack HCI 以外的環境中使用 Azure VM 驗證嗎？

否。 Azure VM 驗證是 Azure Stack HCI OS 內建的功能，而且只能在 Azure Stack HCI 上使用。

如果我剛從 22H2 升級至 23H2，而且我先前已開啟 Azure 權益功能，我需要執行任何新的動作嗎？

如果您已針對工作負載升級先前在 Azure Stack HCI 上設定 Azure 權益的叢集，則升級至 23H2 時不需要執行任何動作。 當您升級時，此功能仍會保持啟用，並開啟舊版OS支援。 不過，如果您想要在 23H2 中透過 VM 總線執行 VM 對主機通訊的改良方式，請確定您具有必要的 主機必要條件 和 VM 必要條件。

我只是在叢集上設定 Azure VM 驗證。 如何? 確保 Azure VM 驗證保持作用中？

• 在大部分情況下，不需要用戶動作。 Azure Stack HCI 會在與 Azure 同步時自動更新 Azure VM 驗證。
• 不過，如果叢集中斷連線超過 30 天，且 Azure VM 驗證顯示為 「已過期」，您可以使用 PowerShell 和 Windows Admin Center 手動同步處理。 如需詳細資訊，請參閱 同步處理 Azure Stack HCI。

當我部署新的 VM 或刪除 VM 時，會發生什麼事？

• 當您部署需要 Azure VM 驗證的新 VM 時，如果 VM 必要條件正確，系統就會自動啟動它們。

• 不過，對於使用舊版OS支援的舊版 VM，您可以使用上述指示，手動新增 VM 來存取 Azure VM 驗證。

• 您仍然可以如往常一樣刪除和移轉 VM。 移轉後 VM 上仍存在 NIC AZSHCI_GUEST IMDS_DO_NOT_MODIFY 。 若要在移轉之前清除 NIC，您可以使用 Windows Admin Center 或 PowerShell，使用舊版 OS 支援的上述指示，從 Azure VM 驗證中移除 VM，或之後先移轉並手動刪除 NIC。

當我新增或移除伺服器時，會發生什麼事？

• 當您新增伺服器時，如果伺服器具有正確的 主機必要條件，它就會自動啟動。
• 如果您使用舊版 OS 支援，您可能需要手動啟用這些伺服器。 在 PowerShell 中執行 Enable-AzStackHCIAttestation [[-ComputerName] <String>] 。 您仍然可以像往常一樣從叢集中刪除伺服器或將其移除。 從叢集移除之後，vSwitch AZSHCI_HOST IMDS_DO_NOT_MODIFY 仍存在於伺服器上。 如果您打算稍後將伺服器新增回叢集，也可以將其手動移除。

下一步

• Azure Stack HCI 上的延伸安全性更新 （ESU）。
• Azure Stack HCI 概觀。
• Azure Stack HCI 常見問題。