Azure Stack HCI 上的 Azure 權益 （22H2 和更早版本）

適用于：Azure Stack HCI 版本 22H2 和 21H2

注意

本文僅適用於 Azure Stack HCI 22H2 版和更早版本。 如需與 23H2 版和更新版本相關聯的權益清單，請參閱 VM 的 Azure 驗證。

Microsoft Azure 提供一系列不同的工作負載和功能，其設計目的是只在 Azure 上執行。 Azure Stack HCI 可擴充您從 Azure 取得的許多相同優點，同時在相同熟悉且高效能的內部部署或邊緣環境中執行。

Azure 權益 可讓支援的 Azure 專屬工作負載在雲端外部運作。 您可以在 Azure Stack HCI 上啟用 Azure 權益，而不需要額外費用。 如果您有 Windows Server 工作負載，建議您開啟它。

請花幾分鐘的時間觀看 Azure 權益的簡介影片：

Azure Stack HCI 上提供的 Azure 權益

開啟 Azure 權益可讓您在 Azure Stack HCI 上使用這些 Azure 專屬工作負載：

[工作負載]	支援的版本	內容
Windows Server Datacenter：Azure Edition	2022 版或更新版本	僅限 Azure 的客體作業系統，其中包含所有最新的 Windows Server 創新和其他專屬功能。 深入瞭解： Windows Server 的 Automanage
延伸安全性更新 （ESU）	2021 年 10 月 12 日安全性更新或更新版本	可讓客戶繼續取得終止支援 SQL Server 和 Windows Server VM 的安全性更新的程式，現在可在 Azure Stack HCI 上執行時免費。 如需詳細資訊，請參閱 Azure Stack HCI 上的延伸安全性更新 （ESU）。
Azure 原則客體設定	Arc 代理程式 1.13 版或更新版本	可針對主機和客體計算機稽核或設定OS設定為程式碼的功能。 深入瞭解：瞭解 Azure 原則 的來賓設定功能
Azure 虛擬桌面	僅適用於多會話版本。 Windows 10 企業版 多會話或更新版本。	可讓您在 Azure Stack HCI 基礎結構上部署 Azure 虛擬桌面作業階段主機的服務。 如需詳細資訊，請參閱 適用於 Azure Stack HCI 的 Azure 虛擬桌面概觀。

運作方式

本節是選擇性閱讀，並詳細說明 HCI 上的 Azure 權益如何「在幕後」運作。

Azure 權益依賴 Azure Stack HCI 上的內建平台證明服務，並協助確保 VM 確實在 Azure 環境中執行。

此服務會在 Azure 中執行的相同 IMDS 證明 服務之後進行模型化，以便讓 Azure 中的客戶能夠使用一些相同的工作負載和權益。 Azure 權益會傳回幾乎完全相同的承載。 主要差異在於它會在內部部署執行，因此保證 VM 是在 Azure Stack HCI 上執行，而不是 Azure。

開啟 Azure 權益會啟動在 Azure Stack HCI 叢集上執行的服務：

1. 在每個伺服器上，HciSvc 會從 Azure 取得憑證，並安全地將其儲存在伺服器上的記憶體保護區內。

   注意

   每次 Azure Stack HCI 叢集與 Azure 同步處理時，都會更新憑證，而且每個更新有效期為 30 天。 只要您維護 Azure Stack HCI 的一般 30 天連線需求，就不需要用戶動作。

2. HciSvc 會公開私人和非可路由的 REST 端點，只能存取相同伺服器上的 VM。 若要啟用此端點，Azure Stack HCI 主機上已設定內部 vSwitch（名為 AZSHCI_HOST-IMDS_DO_NOT_MODIFY）。 然後，VM 必須已設定 NIC，並連結至相同的 vSwitch（AZSHCI_GUEST-IMDS_DO_NOT_MODIFY）。

   注意

   修改或刪除此參數，NIC 可防止 Azure 權益正常運作。 如果發生錯誤，請使用 Windows Admin Center 或下列 PowerShell 指示停用 Azure 權益，然後再試一次。

3. 取用者工作負載（例如 Windows Server Azure Edition 來賓）要求證明。 HciSvc 接著會使用 Azure 憑證簽署回應。

   注意

   您必須針對需要 Azure 權益的每個 VM 手動啟用存取權。

啟用 Azure 權益

開始之前，您需要下列必要條件：

• Azure Stack HCI 叢集：

  • 安裝更新：版本 21H2，至少包含 2021 年 12 月 14 日的安全性更新KB5008223或更新版本。
  • 註冊 Azure Stack HCI：所有伺服器都必須在在線並註冊至 Azure。
  • 安裝 Hyper-V 和 RSAT-Hyper-V-Tools。

• 如果您使用 Windows Admin Center：

  • 具有叢集管理員延伸模組的 Windows Admin Center（版本 2103 或更新版本）（2.41.0 版或更新版本）。

您可以使用 Windows Admin Center、PowerShell、Azure CLI 或 Azure 入口網站，在 Azure Stack HCI 上啟用 Azure 權益。 下列各節說明每個選項。

注意

若要在第 1 代 VM 上成功啟用 Azure 權益，必須先關閉 VM 電源，才能新增 NIC。

管理 Azure 權益

Windows Admin Center

1. 在 Windows Admin Center 中，從頂端下拉功能表中選取 [叢集管理員]，流覽至您想要啟動的叢集，然後在 [設定] 底下選取 [Azure 權益]。

2. 在 [ Azure 權益] 窗格中，選取 [開啟]。 根據預設，會選取所有現有 VM 開啟的複選框。 您可以取消選取它，並在稍後手動新增 VM。

3. 再次選取 [開啟 ] 以確認設定。 伺服器可能需要幾分鐘的時間才能反映變更。

4. 當 Azure 權益設定成功時，頁面會更新以顯示 Azure 權益儀錶板。 若要檢查主機的 Azure 權益：

   1. 檢查 Azure 權益叢集狀態是否顯示為 [開啟]。
   2. 在儀錶板的 [ 叢集] 索引標籤下，檢查每部伺服器的 Azure 權益在數據表中顯示為 [作用 中]。

5. 若要檢查 VM 的 Azure 權益存取：檢查已開啟 Azure 權益的 VM 狀態。 建議所有現有的 VM 都開啟 Azure 權益;例如，3 個 VM 中的 3 個。

Azure PowerShell

1. 若要設定 Azure 權益，請從 Azure Stack HCI 叢集上提升許可權的 PowerShell 視窗執行下列命令：

   Enable-AzStackHCIAttestation
   

   或者，如果您想要在安裝時新增所有現有的 VM，您可以執行下列命令：

   Enable-AzStackHCIAttestation -AddVM
   

2. 當 Azure 權益設定成功時，您可以檢視 Azure 權益狀態。 執行下列命令來檢查叢集屬性 IMDS 證明 ：

   Get-AzureStackHCI
   

   或者，若要檢視伺服器的 Azure 權益狀態，請執行下列命令：

   Get-AzureStackHCIAttestation [[-ComputerName] <string>]
   

3. 若要檢查 VM 的 Azure 權益存取權，請執行下列命令：

   Get-AzStackHCIVMAttestation
   

Azure 入口網站

1. 在您的 Azure Stack HCI 叢集資源頁面中，流覽至 [ 設定 ] 索引標籤。

2. 在 [啟用 Azure 權益] 功能底下，檢視主機證明狀態：

   

Azure CLI

Azure CLI 可在 Windows、macOS 和 Linux 環境中安裝。 也可以在 Azure Cloud Shell 中執行。 本文件詳細說明如何在 Azure Cloud Shell 中使用 Bash。 如需詳細資訊，請參閱 Azure Cloud Shell 快速入門。

啟動 Azure Cloud Shell 並使用 Azure CLI 來設定 Azure 權益，請遵循下列步驟：

1. 從您的訂用帳戶、資源群組和叢集名稱設定參數

   subscription="00000000-0000-0000-0000-000000000000" # Replace with your subscription ID
   resourceGroup="hcicluster-rg" # Replace with your resource group name
   clusterName="HCICluster" # Replace with your cluster name
   
   az account set --subscription "${subscription}"
   

2. 若要檢視叢集上的 Azure 權益狀態，請執行下列命令：

   az stack-hci cluster list \
   --resource-group "${resourceGroup}" \
   --query "[?name=='${clusterName}'].{Name:name, AzureBenefitsHostAttestation:reportedProperties.imdsAttestation}" \
   -o table
   

管理 VM 的 Azure 權益存取 - Windows Admin Center

若要開啟 VM 的 Azure 權益，請選取 [VM] 索引標籤，然後在沒有 Azure 權益的 VM 頂端數據表中選取 VM，然後選取 [開啟適用於 VM 的 Azure 權益]。

管理 VM 的 Azure 權益存取 - Azure PowerShell

• 若要開啟所選 VM 的優點，請在 Azure Stack HCI 叢集上執行下列命令：

  Add-AzStackHCIVMAttestation [-VMName]
  

  或者，若要新增所有現有的 VM，請執行下列命令：

  Add-AzStackHCIVMAttestation -AddAll
  

• 或者，若要檢查 VM 是否可以存取主機上的 Azure 權益，請在 VM 上執行下列命令：

  Invoke-RestMethod -Headers @{"Metadata"="true"} -Method GET -Uri "http://169.254.169.253:80/metadata/attested/document?api-version=2018-10-01"
  

透過 Windows Admin Center 進行疑難解答

• 若要關閉和重設叢集上的 Azure 權益：
  • 在 [叢集] 索引標籤上，選取 [關閉 Azure 權益]。
• 若要移除對 VM 的 Azure 權益存取：
  • 在 [VM] 索引標籤上，選取不含 Azure 權益的 VM 頂端數據表中的 VM，然後選取 [開啟適用於 VM 的 Azure 權益]。
• 在 [ 叢集] 索引標籤下，一或多部伺服器顯示為 [已過期]：
  • 如果一或多部伺服器的 Azure 權益尚未與 Azure 同步 30 天以上，它會顯示為 「已過期 」或 「非作用中」。 選取 [與 Azure 同步] 以排程手動同步處理。
• 在 [VM] 索引標籤下，主機伺服器權益會顯示為 [未知] 或 [非使用中]：
  • 您無法在這些主機伺服器上新增或移除 VM 的 Azure 權益。 移至 [ 叢集 ] 索引標籤以修正主機伺服器的 Azure 權益，併發生錯誤，然後再次嘗試管理 VM。

透過PowerShell進行疑難解答

• 若要關閉並重設叢集上的 Azure 權益，請執行下列命令：

  Disable-AzStackHCIAttestation -RemoveVM
  

• 若要移除所選 VM 的 Azure 權益存取權：

  Remove-AzStackHCIVMAttestation -VMName <string>
  

  或者，若要移除所有現有 VM 的存取權：

  Remove-AzStackHCIVMAttestation -RemoveAll
  

• 如果一或多部伺服器的 Azure 權益尚未與 Azure 同步並更新，它可能會顯示為 「已過期」或「非作用中」。 排程手動同步處理：

  Sync-AzureStackHCI
  

• 如果伺服器是新新增且尚未使用 Azure 權益進行設定，它可能會顯示為 非使用中。 若要新增伺服器，請再次執行安裝程式：

  Enable-AzStackHCIAttestation
  

常見問題集

此常見問題提供使用 Azure 權益的一些問題的解答。

可以使用 Azure 權益啟用哪些 Azure 專屬工作負載？

完整清單請參閱這裡。

開啟 Azure 權益需要花費任何費用嗎？

否，開啟 Azure 權益不會產生額外費用。

我可以在 Azure Stack HCI 以外的環境中使用 Azure 權益嗎？

否，Azure 權益是 Azure Stack HCI OS 內建的功能，而且只能在 Azure Stack HCI 上使用。

我已在叢集上設定 Azure 權益。 如何? 確保 Azure 權益保持作用中？

• 在大部分情況下，不需要用戶動作。 Azure Stack HCI 會在與 Azure 同步時自動更新 Azure 權益。
• 不過，如果叢集中斷連線超過 30 天，且 Azure 權益顯示為 已過期，您可以使用 PowerShell 和 Windows Admin Center 手動同步處理。 如需詳細資訊，請參閱 同步處理 Azure Stack HCI。

當我部署新的 VM 或刪除 VM 時，會發生什麼事？

• 當您部署需要 Azure 權益的新 VM 時，您可以使用上述指示，手動新增 VM 以使用 Windows Admin Center 或 PowerShell 存取 Azure 權益。
• 您仍然可以如往常一樣刪除和移轉 VM。 移轉後，NIC AZSHCI_GUEST IMDS_DO_NOT_MODIFY 仍會存在於 VM 上。 若要在移轉之前清除 NIC，您可以使用 Windows Admin Center 或 PowerShell，從 Azure 權益中移除 VM，或使用上述指示，或之後先移轉並手動刪除 NIC。

當我新增或移除伺服器時，會發生什麼事？

• 當您新增伺服器時，您可以流覽至 Windows Admin Center 中的 [Azure 權益] 頁面，橫幅隨即出現，其中包含 [啟用非使用中伺服器] 的連結。
• 或者，您可以在 PowerShell 中執行 Enable-AzStackHCIAttestation [[-ComputerName] <String>] 。
• 您仍然可以像往常一樣從叢集中刪除伺服器或將其移除。 從叢集移除之後，vSwitch AZSHCI_HOST-IMDS_DO_NOT_MODIFY 仍會存在於伺服器上。 如果您打算稍後將伺服器新增回叢集，也可以將其手動移除。

下一步

• Azure Stack HCI 上的延伸安全性更新 （ESU）
• Azure Stack HCI 概觀
• Azure Stack HCI 常見問題