Azure Stack HCI 上的 Azure 權益 (22H2 和更早版本)

發行項
11/28/2023

適用於：Azure Stack HCI 版本 22H2 和 21H2

注意

本文僅適用於 Azure Stack HCI 22H2 版和更早版本。如需版本 23H2 和更新版本，請參閱適用於 VM 的 Azure 驗證檔。

Microsoft Azure 提供各種不同的工作負載和功能，其設計目的是要在 Azure 上執行。 Azure Stack HCI 會擴充您從 Azure 取得的許多相同優點，同時在相同的熟悉和高效能內部部署或邊緣環境中執行。

Azure 權益可讓受支援的 Azure 獨佔工作負載在雲端外部運作。您可以在 Azure Stack HCI 上啟用 Azure 權益，而不需要額外費用。如果您有 Windows Server 工作負載，建議您將其開啟。

請花幾分鐘的時間觀看 Azure 權益的簡介影片：

Azure Stack HCI 上提供的 Azure 權益

開啟 Azure 權益可讓您在 Azure Stack HCI 上使用這些 Azure 專屬的工作負載：

工作負載	支援的版本	內容
Windows Server Datacenter：Azure Edition	2022 版或更新版本	僅限 Azure 的客體作業系統，其中包含所有最新的 Windows Server 創新和其他專屬功能。深入了解：適用於 Windows Server 的 Automanage
延伸安全性更新 (ESU)	2021 年 10 月 12 日的安全性更新或更新版本	一種程式，可讓客戶繼續取得支援 SQL Server 和 Windows Server VM 的安全性更新，在 Azure Stack HCI 上執行時，現在免費提供。如需詳細資訊，請參閱 Azure Stack HCI 上的延伸安全性更新 (ESU)。
Azure 原則客體設定	Arc 代理程式 1.13 或更新版本。	一種功能，可針對主機和客體機器，將作業系統設定視為程式碼進行稽核或設定。深入瞭解：瞭解 Azure 原則來賓設定功能
Azure 虛擬桌面	僅適用於多會話版本。 Windows 10 企業版多會話或更新版本。	可讓您在 Azure Stack HCI 基礎結構上部署 Azure 虛擬桌面作業階段主機的服務。如需詳細資訊，請參閱適用於 Azure Stack HCI 的 Azure 虛擬桌面概觀。

運作方式

本節為選擇性閱讀，詳細說明 HCI 上的 Azure 權益在幕後的運作方式。

Azure 權益依賴 Azure Stack HCI 上內建的平台證明服務，有助於提供 VM 確實在 Azure 環境上執行的保證。

此服務會在 Azure 中執行的相同 IMDS 證明服務之後進行模型化，以便讓 Azure 中的客戶能夠使用相同的工作負載和權益。 Azure 權益會傳回幾乎相同的承載。主要差異在於其會在內部部署執行，因此可確保 VM 會在 Azure Stack HCI 上而不是 Azure 上執行。

開啟 Azure 權益會啟動在 Azure Stack HCI 叢集上執行的服務：

在每部伺服器上，HciSvc 會從 Azure 取得憑證，並將它安全地儲存在伺服器上的記憶體保護區中。

注意

每次 Azure Stack HCI 叢集與 Azure 同步時，就會更新憑證，每次更新的有效期限為 30 天。只要您針對 Azure Stack HCI 維持一般的 30 天連線需求，使用者就不需要採取任何動作。
HciSvc 會公開不可路由傳送的私人 REST 端點，只可供相同伺服器上的 VM 存取。為了啟用此端點，系統會在名為 AZSHCI_HOST-IMDS_DO_NOT_MODIFY 的 Azure Stack HCI 主機上設定內部 vSwitch。接著，VM 必須設定 NIC，並將其連結至相同的 vSwitch (AZSHCI_GUEST-IMDS_DO_NOT_MODIFY)。

注意

修改或刪除此交換器和 NIC 會造成 Azure 權益無法正常運作。如果發生錯誤，請使用 Windows Admin Center 或後續的 PowerShell 指示停用 Azure 權益，然後再試一次。
消費者工作負載 (例如 Windows Server Azure Edition 來賓) 要求證明。 HciSvc 接著會使用 Azure 憑證來簽署回應。

注意

您必須針對每個需要 Azure 權益的 VM 手動啟用存取。

啟用 Azure 權益

開始之前，您需要下列必要條件：

Azure Stack HCI 叢集：
- 安裝更新：21H2 版，至少包含 2021 年 12 月 14 日的安全性更新 KB5008223 或更新版本。
- 註冊 Azure Stack HCI：所有伺服器都必須在線上，並已向 Azure 註冊。
- 安裝 Hyper-V 和 RSAT-Hyper-V-Tools。
如果使用 Windows Admin Center：
- Windows Admin Center (2103 版或更新版本) 與叢集管理員延伸模組 (2.41.0 版或更新版本)。

您可以使用 Windows Admin Center、PowerShell、Azure CLI 或 Azure 入口網站，在 Azure Stack HCI 上啟用 Azure 權益。下列各節描述各種選項。

注意

若要在第 1 代 VM 上成功啟用 Azure 權益，必須先關閉 VM 電源，才能新增 NIC。

管理 Azure 權益

在 Windows Admin Center 中，從頂端下拉式功能表選取 [叢集管理員]、瀏覽至您想要啟動的叢集，然後在 [設定] 下，選取 [Azure 權益]。
在 [Azure 權益] 窗格中，選取 [開啟]。預設會勾選開啟所有現有 VM 的核取方塊。您可以取消選取它，並於稍後手動新增 VM。
再次選取 [開啟] 確認安裝。伺服器可能需要幾分鐘的時間來反映變更。
Azure 權益設定成功時，頁面會更新以顯示 Azure 權益儀表板。若要檢查主機的 Azure 權益：
1. 確認 [Azure 權益叢集狀態] 顯示為 [開啟]。
2. 在 [儀表板] 的 [叢集] 索引標籤下，檢查每個伺服器的 Azure 權益在資料表中顯示為[使用中]。
若要檢查 VM 的 Azure 權益存取權：檢查已開啟 Azure 權益的 VM 狀態。建議所有現有的 VM 都已開啟 Azure 權益；例如 3 個 VM 中的 3 個。

Windows Admin Center 中的 Azure 權益螢幕快照。

若要設定 Azure 權益，請從 Azure Stack HCI 叢集上已提升權限的 PowerShell 視窗中執行下列命令：
```
Enable-AzStackHCIAttestation
```
或者，如果您想要在安裝時新增所有現有的 VM，您可以執行下列命令：
```
Enable-AzStackHCIAttestation -AddVM
```
Azure 權益設定成功時，您可以檢視 Azure 權益狀態。執行下列命令來檢查叢集屬性 IMDS 證明：
```
Get-AzureStackHCI
```
或者，若要查看伺服器的 Azure 權益狀態，請執行下列命令：
```
Get-AzureStackHCIAttestation [[-ComputerName] <string>]
```
若要檢查 VM 的 Azure 權益存取權，請執行下列命令：
```
Get-AzStackHCIVMAttestation
```

Azure CLI 可在 Windows、macOS 和 Linux 環境中安裝。它也可以在 Azure Cloud Shell 中執行。本文件詳細說明如何在 Azure Cloud Shell 中使用 Bash。如需詳細資訊，請參閱 Azure Cloud Shell 快速入門。

啟動 Azure Cloud Shell 並使用 Azure CLI 來設定 Azure 權益，請遵循下列步驟：

從您的訂用帳戶、資源群組和叢集名稱設定參數

subscription="00000000-0000-0000-0000-000000000000" # Replace with your subscription ID
resourceGroup="hcicluster-rg" # Replace with your resource group name
clusterName="HCICluster" # Replace with your cluster name

az account set --subscription "${subscription}"

若要檢視叢集上的 Azure 權益狀態，請執行下列命令：

az stack-hci cluster list \
--resource-group "${resourceGroup}" \
--query "[?name=='${clusterName}'].{Name:name, AzureBenefitsHostAttestation:reportedProperties.imdsAttestation}" \
-o table

管理 VM 的 Azure 權益存取權 - Windows Admin Center

若要開啟 VM 的 Azure 權益，請選取 [VM] 索引標籤，然後選取最上層資料表 [沒有 Azure 權益的 VM] 中的 VM，然後選取 [開啟 VM 的 Azure 權益]。

適用於 VM 的 Azure 權益螢幕快照。

管理 VM 的 Azure 權益存取權 - Azure PowerShell

若要開啟所選 VM 的權益，請在您的 Azure Stack HCI 叢集中執行下列命令：
```
Add-AzStackHCIVMAttestation [-VMName]
```
或者，若要新增所有現有的 VM，請執行下列命令：
```
Add-AzStackHCIVMAttestation -AddAll
```

您可以選擇性地檢查 VM 是否可以存取主機上的 Azure 權益，請在 VM 上執行下列命令：

Invoke-RestMethod -Headers @{"Metadata"="true"} -Method GET -Uri "http://169.254.169.253:80/metadata/attested/document?api-version=2018-10-01"

透過 Windows Admin Center 進行疑難解答

若要在您的叢集上關閉及重設 Azure 權益：
- 在 [ 叢集] 索引 標籤上，選取 [關閉 Azure 權益]。
若要移除 VM 的 Azure 權益存取權：
- 在 [VM ] 索引標籤上，選取頂端數據表 VM 中沒有 Azure 權益的 VM (s) ，然後選取 [ 開啟 VM 的 Azure 權益]。
在 [叢集] 索引標籤下，有一或多部伺服器顯示為 [已過期]：
- 如果一或多部伺服器的 Azure 權益未與 Azure 同步超過 3 0天，則會顯示為 [已過期] 或 [非使用中]。選取 [與 Azure 同步] 以排程手動同步處理。
在 [VM] 索引標籤下，主機伺服器權益會顯示為 [未知] 或 [非使用中]：
- 您將無法在這些主機伺服器上新增或移除 VM 的 Azure 權益。移至 [叢集] 索引標籤來修正 Azure 權益的錯誤主機伺服器，然後再次嘗試並管理 VM。

透過PowerShell進行疑難解答

若要在您的叢集上關閉及重設 Azure 權益，請執行下列命令：
```
Disable-AzStackHCIAttestation -RemoveVM
```
若要移除所選 VM 的 Azure 權益存取權：
```
Remove-AzStackHCIVMAttestation -VMName <string>
```
或者，若要移除所有現有 VM 的存取權：
```
Remove-AzStackHCIVMAttestation -RemoveAll
```
如果有一或多部伺服器的 Azure 權益尚未與 Azure 同步處理及更新，它可能會顯示為 [已過期] 或 [非使用中]。排程手動同步處理：
```
Sync-AzureStackHCI
```
如果新增伺服器但尚未使用 Azure 權益進行設定，它可能會顯示為 [非使用中]。若要新增伺服器，請再次執行安裝程式：
```
Enable-AzStackHCIAttestation
```

常見問題集

此常見問題將解答使用 Azure 權益的一些問題。

我可以使用 Azure 權益啟用哪些 Azure 專屬工作負載？

請參閱此處的完整清單。

開啟 Azure 權益是否會產生任何費用？

否，開啟 Azure 權益不會產生額外費用。

我可以在 Azure Stack HCI 以外的環境中使用 Azure 權益嗎？

否，Azure 權益是 Azure Stack HCI OS 內建的功能，只能在 Azure Stack HCI 上使用。

我剛剛在叢集上設定了 Azure 權益。如何確定 Azure 權益保持使用中狀態？

在大多數情況下，不需要使用者動作。 Azure Stack HCI 在與 Azure 同步處理時會自動更新 Azure 權益。
不過，如果叢集中斷連線超過30 天，且 Azure 權益顯示為 [已過期]，您可以使用 PowerShell 和 Windows Admin Center 手動進行同步處理。如需詳細資訊，請參閱同步處理 Azure Stack HCI。

我部署新的 VM 或刪除 VM 時，會發生什麼情況？

您部署需要 Azure 權益的新 VM 時，可以使用先前的指示，手動新增 VM 以使用 Windows Admin Center 或 PowerShell 存取 Azure 權益。
您仍然可以像平常一樣刪除和移轉 VM。在移轉之後，NIC AZSHCI_GUEST-IMDS_DO_NOT_MODIFY 仍會存在於 VM 上。若要在移轉之前清除 NIC，您可以使用 Windows Admin Center 或 PowerShell 來移除 Azure 權益中的 VM，您可以使用上述指示來移除 VM，也可以先移轉，然後手動刪除 NIC。

我新增或移除伺服器時，會發生什麼情況？

您新增伺服器時，可以在 Windows Admin Center 中瀏覽至 [Azure 權益] 頁面，而且會有橫幅顯示 [啟用非使用中伺服器] 的連結。
或者，您也可以在 PowerShell 中執行 Enable-AzStackHCIAttestation [[-ComputerName] <String>]。
您仍然可以像平常一樣刪除伺服器或從叢集移除伺服器。從叢集移除之後，vSwitch AZSHCI_HOST-IMDS_DO_NOT_MODIFY 將仍存在於伺服器上。如果您打算稍後將伺服器新增回叢集，您可以保留伺服器，也可以手動移除伺服器。

Azure Stack HCI 上的 Azure 權益 (22H2 和更早版本)

Azure Stack HCI 上提供的 Azure 權益

運作方式

啟用 Azure 權益

管理 Azure 權益

管理 VM 的 Azure 權益存取權 - Windows Admin Center

管理 VM 的 Azure 權益存取權 - Azure PowerShell

透過 Windows Admin Center 進行疑難解答

透過PowerShell進行疑難解答

常見問題集

我可以使用 Azure 權益啟用哪些 Azure 專屬工作負載？

開啟 Azure 權益是否會產生任何費用？

我可以在 Azure Stack HCI 以外的環境中使用 Azure 權益嗎？

我剛剛在叢集上設定了 Azure 權益。如何確定 Azure 權益保持使用中狀態？

我部署新的 VM 或刪除 VM 時，會發生什麼情況？

我新增或移除伺服器時，會發生什麼情況？

下一步

意見反應

意見反應

其他資源

Azure Stack HCI 上的 Azure 權益 (22H2 和更早版本)

Azure Stack HCI 上提供的 Azure 權益

運作方式

啟用 Azure 權益

管理 Azure 權益

管理 VM 的 Azure 權益存取權 - Windows Admin Center

管理 VM 的 Azure 權益存取權 - Azure PowerShell

透過 Windows Admin Center 進行疑難解答

透過PowerShell進行疑難解答

常見問題集

我可以使用 Azure 權益啟用哪些 Azure 專屬工作負載？

開啟 Azure 權益是否會產生任何費用？

我可以在 Azure Stack HCI 以外的環境中使用 Azure 權益嗎？

我剛剛在叢集上設定了 Azure 權益。 如何確定 Azure 權益保持使用中狀態？

我部署新的 VM 或刪除 VM 時，會發生什麼情況？

我新增或移除伺服器時，會發生什麼情況？

下一步

意見反應

意見反應

其他資源

我剛剛在叢集上設定了 Azure 權益。如何確定 Azure 權益保持使用中狀態？