Výhody Azure v Azure Stack HCI (22H2 a starší)

Platí pro: Azure Stack HCI verze 22H2 a 21H2

Poznámka

Tento článek je určený jenom pro Azure Stack HCI verze 22H2 a starší. Informace o verzi 23H2 a novější najdete v dokumentaci k ověřování virtuálních počítačů Azure.

Microsoft Azure nabízí řadu diferencovaných úloh a funkcí, které jsou navržené tak, aby běžely pouze v Azure. Azure Stack HCI rozšiřuje řadu stejných výhod, které získáte z Azure, a současně běží ve stejném známém a vysoce výkonném místním nebo hraničním prostředí.

Výhody Azure umožňují, aby podporované úlohy exkluzivní pro Azure fungovaly mimo cloud. Výhody Azure můžete ve službě Azure Stack HCI povolit bez dalších poplatků. Pokud máte úlohy Windows Serveru, doporučujeme je zapnout.

Několik minut watch úvodní video o výhodách Azure:

Výhody Azure dostupné v Azure Stack HCI

Zapnutí výhod Azure vám umožní používat tyto exkluzivní úlohy Azure v Azure Stack HCI:

Úloha	Podporované verze	Co to je
Windows Server Datacenter: Azure Edition	Verze 2022 nebo novější	Hostovaný operační systém pouze v Azure, který zahrnuje všechny nejnovější inovace Windows Serveru a další exkluzivní funkce. Další informace: Automanage pro Windows Server
Rozšířené aktualizace zabezpečení (ESU)	Aktualizace zabezpečení z 12. října 2021 nebo novější	Program, který zákazníkům umožňuje dál dostávat aktualizace zabezpečení pro SQL Server s ukončenou podporou a virtuální počítače s Windows Serverem, které jsou teď při spuštění na Azure Stack HCI zdarma. Další informace najdete v tématu Rozšířené aktualizace zabezpečení (ESU) v Azure Stack HCI.
Azure Policy konfigurace hosta	Agent Arc verze 1.13 nebo novější	Funkce, která může auditovat nebo konfigurovat nastavení operačního systému jako kód pro hostitelské i hostované počítače. Další informace: Vysvětlení funkce konfigurace hosta Azure Policy
Azure Virtual Desktop	Pouze pro edice s více relacemi. Windows 10 Enterprise více relací nebo novější.	Služba, která umožňuje nasadit hostitele relací služby Azure Virtual Desktop na infrastrukturu Azure Stack HCI. Další informace najdete v tématu Přehled služby Azure Virtual Desktop pro Azure Stack HCI.

Jak to funguje

Tato část je volitelná a vysvětluje další informace o tom, jak výhody Azure na HCI fungují "pod pokličkou".

Výhody Azure spoléhají na integrovanou službu ověření identity platformy v Azure Stack HCI a pomáhají zajistit, že virtuální počítače jsou skutečně spuštěné v prostředíCh Azure.

Tato služba se modeluje podle stejné služby IMDS Attestation , která běží v Azure, aby bylo možné využívat některé stejné úlohy a výhody, které mají zákazníci v Azure k dispozici. Výhody Azure vrací datovou část téměř identickou. Hlavní rozdíl spočívá v tom, že běží místně, a proto zaručuje, že virtuální počítače běží v Azure Stack HCI místo v Azure.

Zapnutím výhod Azure spustíte službu spuštěnou ve vašem clusteru Azure Stack HCI:

1. Na každém serveru získá HciSvc certifikát z Azure a bezpečně ho uloží v rámci enklávy na serveru.

   Poznámka

   Certifikáty se obnovují při každé synchronizaci clusteru Azure Stack HCI s Azure a každé prodloužení platnosti je platné po dobu 30 dnů. Pokud pro Azure Stack HCI zachováte obvyklé požadavky na připojení na 30 dní, nevyžaduje se žádná akce uživatele.

2. HciSvc zveřejňuje privátní a nesměrovatelný koncový bod REST, který je přístupný jenom virtuálním počítačům na stejném serveru. K povolení tohoto koncového bodu se na hostiteli Azure Stack HCI (s názvem AZSHCI_HOST-IMDS_DO_NOT_MODIFY) nakonfiguruje interní virtuální přepínač vSwitch. Virtuální počítače pak musí mít nakonfigurovanou síťovou kartu a připojenou ke stejnému virtuálnímu přepínači vSwitch (AZSHCI_GUEST-IMDS_DO_NOT_MODIFY).

   Poznámka

   Úprava nebo odstranění tohoto přepínače a síťové karty zabrání správnému fungování výhod Azure. Pokud dojde k chybám, pomocí Windows Admin Center nebo následujících pokynů PowerShellu zakažte Výhody Azure a zkuste to znovu.

3. Uživatelské úlohy (například hosté windows serveru Azure Edition) požadují ověření identity. HciSvc pak podepíše odpověď certifikátem Azure.

   Poznámka

   Přístup musíte ručně povolit pro každý virtuální počítač, který potřebuje výhody Azure.

Povolení výhod Azure

Než začnete, budete potřebovat následující požadavky:

• Cluster Azure Stack HCI:

  • Nainstalujte aktualizace: verze 21H2 s minimálně aktualizací zabezpečení z 14. prosince 2021 KB5008223 nebo novější.
  • Registrace Azure Stack HCI: Všechny servery musí být online a musí být zaregistrované v Azure.
  • Nainstalujte hyper-V a nástroje RSAT-Hyper-V-Tools.

• Pokud používáte Windows Admin Center:

  • Windows Admin Center (verze 2103 nebo novější) s rozšířením Správce clusteru (verze 2.41.0 nebo novější).

Výhody Azure můžete v Azure Stack HCI povolit pomocí Windows Admin Center, PowerShellu, Azure CLI nebo Azure Portal. Následující části popisují jednotlivé možnosti.

Poznámka

Pokud chcete úspěšně povolit výhody Azure na virtuálních počítačích 1. generace, musí být virtuální počítač nejprve vypnutý, aby bylo možné přidat síťovou kartu.

Správa výhod Azure

Windows Admin Center

1. V Windows Admin Center vyberte v horní rozevírací nabídce Správce clusteru, přejděte ke clusteru, který chcete aktivovat, a pak v části Nastavení vyberte Výhody Azure.

2. V podokně Výhody Azure vyberte Zapnout. Ve výchozím nastavení je zaškrtnuté políčko pro zapnutí pro všechny existující virtuální počítače. Jeho výběr můžete zrušit a přidat virtuální počítače ručně později.

3. Znovu vyberte Zapnout a potvrďte nastavení. Než se změny projeví na serverech, může to trvat několik minut.

4. Po úspěšném nastavení výhod Azure se stránka aktualizuje a zobrazí se řídicí panel Výhody Azure. Kontrola výhod Azure pro hostitele:

   1. Zkontrolujte, že se stav clusteru Výhody Azure zobrazuje jako Zapnuto.
   2. Na kartě Cluster na řídicím panelu zkontrolujte, že se výhody Azure pro každý server zobrazují v tabulce jako Aktivní .

5. Kontrola přístupu k výhodám Azure pro virtuální počítače: Zkontrolujte stav virtuálních počítačů se zapnutými výhodami Azure. Doporučuje se, aby všechny vaše stávající virtuální počítače měly zapnuté výhody Azure. například 3 ze 3 virtuálních počítačů.

Azure PowerShell

1. Pokud chcete nastavit výhody Azure, spusťte následující příkaz v okně PowerShellu se zvýšenými oprávněními v clusteru Azure Stack HCI:

   Enable-AzStackHCIAttestation
   

   Nebo pokud chcete při instalaci přidat všechny existující virtuální počítače, můžete spustit následující příkaz:

   Enable-AzStackHCIAttestation -AddVM
   

2. Když je nastavení výhod Azure úspěšné, můžete zobrazit stav Výhod Azure. Spuštěním následujícího příkazu zkontrolujte vlastnost clusteru IMDS Attestation :

   Get-AzureStackHCI
   

   Pokud chcete zobrazit stav výhod Azure pro servery, spusťte následující příkaz:

   Get-AzureStackHCIAttestation [[-ComputerName] <string>]
   

3. Pokud chcete zkontrolovat přístup k výhodám Azure pro virtuální počítače, spusťte následující příkaz:

   Get-AzStackHCIVMAttestation
   

Azure Portal

1. Na stránce prostředku clusteru Azure Stack HCI přejděte na kartu Konfigurace .

2. V části Povolení výhod Azure zobrazte stav ověření identity hostitele:

   

Azure CLI

Azure CLI je k dispozici k instalaci v prostředích Windows, macOS a Linux. Můžete ho také spustit v Azure Cloud Shell. Tento dokument podrobně popisuje, jak používat Bash v Azure Cloud Shell. Další informace najdete v tématu Rychlý start pro Azure Cloud Shell.

Spusťte Azure Cloud Shell a pomocí Azure CLI nakonfigurujte výhody Azure pomocí následujících kroků:

1. Nastavení parametrů z předplatného, skupiny prostředků a názvu clusteru

   subscription="00000000-0000-0000-0000-000000000000" # Replace with your subscription ID
   resourceGroup="hcicluster-rg" # Replace with your resource group name
   clusterName="HCICluster" # Replace with your cluster name
   
   az account set --subscription "${subscription}"
   

2. Pokud chcete zobrazit stav výhod Azure v clusteru, spusťte následující příkaz:

   az stack-hci cluster list \
   --resource-group "${resourceGroup}" \
   --query "[?name=='${clusterName}'].{Name:name, AzureBenefitsHostAttestation:reportedProperties.imdsAttestation}" \
   -o table
   

Správa přístupu k výhodám Azure pro virtuální počítače – Windows Admin Center

Pokud chcete zapnout výhody Azure pro virtuální počítače, vyberte kartu Virtuální počítače, pak vyberte virtuální počítače v horní tabulce Virtuální počítače bez výhod Azure a pak vyberte Zapnout výhody Azure pro virtuální počítače.

Správa přístupu k výhodám Azure pro virtuální počítače – Azure PowerShell

• Pokud chcete zapnout výhody pro vybrané virtuální počítače, spusťte v clusteru Azure Stack HCI následující příkaz:

  Add-AzStackHCIVMAttestation [-VMName]
  

  Pokud chcete přidat všechny existující virtuální počítače, spusťte následující příkaz:

  Add-AzStackHCIVMAttestation -AddAll
  

• Pokud chcete zkontrolovat, že virtuální počítače mají na hostiteli přístup k výhodám Azure, spusťte na virtuálním počítači následující příkaz:

  Invoke-RestMethod -Headers @{"Metadata"="true"} -Method GET -Uri "http://169.254.169.253:80/metadata/attested/document?api-version=2018-10-01"
  

Řešení potíží prostřednictvím Windows Admin Center

• Vypnutí a resetování výhod Azure v clusteru:
  • Na kartě Cluster vyberte Vypnout výhody Azure.
• Odebrání přístupu k výhodám Azure pro virtuální počítače:
  • Na kartě Virtuální počítač vyberte virtuální počítače v horní tabulce Virtuální počítače bez výhod Azure a pak vyberte Zapnout výhody Azure pro virtuální počítače.
• Na kartě Cluster se jeden nebo více serverů zobrazuje jako Prošlá platnost:
  • Pokud se výhody Azure pro jeden nebo více serverů nesynchronizují s Azure déle než 30 dnů, zobrazí se jako Vypršela platnost nebo Neaktivní. Vyberte Synchronizovat s Azure a naplánujte ruční synchronizaci.
• Na kartě Virtuální počítač se výhody hostitelského serveru zobrazují jako Neznámé nebo Neaktivní:
  • Na těchto hostitelských serverech nebudete moct přidávat ani odebírat výhody Azure pro virtuální počítače. Přejděte na kartu Cluster a opravte výhody Azure pro hostitelské servery s chybami a pak zkuste virtuální počítače spravovat znovu.

Řešení potíží prostřednictvím PowerShellu

• Pokud chcete v clusteru vypnout a resetovat výhody Azure, spusťte následující příkaz:

  Disable-AzStackHCIAttestation -RemoveVM
  

• Odebrání přístupu k výhodám Azure pro vybrané virtuální počítače:

  Remove-AzStackHCIVMAttestation -VMName <string>
  

  Pokud chcete odebrat přístup ke všem existujícím virtuálním počítačům:

  Remove-AzStackHCIVMAttestation -RemoveAll
  

• Pokud se výhody Azure pro jeden nebo více serverů ještě nesynchronizují a neprodloužily s Azure, může se zobrazit jako vypršela platnost nebo neaktivní. Naplánujte ruční synchronizaci:

  Sync-AzureStackHCI
  

• Pokud je server nově přidaný a ještě není nastavený s výhodami Azure, může se zobrazit jako neaktivní. Pokud chcete přidat nový server, spusťte instalaci znovu:

  Enable-AzStackHCIAttestation
  

Časté otázky

V těchto nejčastějších dotazech najdete odpovědi na některé otázky týkající se používání výhod Azure.

Jaké úlohy exkluzivní pro Azure můžu povolit s využitím výhod Azure?

Úplný seznam najdete tady.

Stojí zapnutí výhod Azure něco?

Ne, za zapnutí výhod Azure se neúčtují žádné další poplatky.

Můžu výhody Azure využít v jiných prostředích než Azure Stack HCI?

Ne, Výhody Azure jsou funkce integrovaná do operačního systému Azure Stack HCI a dá se používat jenom v Azure Stack HCI.

Právě jsem nastavili výhody Azure v clusteru. Návody zajistit, aby výhody Azure zůstaly aktivní?

• Ve většině případů není nutná žádná akce uživatele. Azure Stack HCI automaticky obnovuje výhody Azure při synchronizaci s Azure.
• Pokud se ale cluster odpojí po dobu delší než 30 dnů a výhody Azure se zobrazují jako ukončené, můžete synchronizaci ručně provést pomocí PowerShellu a Windows Admin Center. Další informace najdete v tématu synchronizace Azure Stack HCI.

Co se stane, když nasadím nové virtuální počítače nebo odstraním virtuální počítače?

• Při nasazování nových virtuálních počítačů, které vyžadují výhody Azure, můžete pomocí předchozích pokynů ručně přidat nové virtuální počítače pro přístup k výhodám Azure pomocí Windows Admin Center nebo PowerShellu.
• Virtuální počítače můžete odstraňovat a migrovat jako obvykle. Síťová karta AZSHCI_GUEST-IMDS_DO_NOT_MODIFY bude na virtuálním počítači dál existovat i po migraci. Pokud chcete síťovou kartu před migrací vyčistit, můžete pomocí výše uvedených pokynů odebrat virtuální počítače z výhod Azure pomocí Windows Admin Center nebo PowerShellu, nebo můžete síťové karty nejprve migrovat a potom ručně odstranit síťové karty.

Co se stane, když přidám nebo odeberu servery?

• Když přidáte server, můžete v Windows Admin Center přejít na stránku Výhody Azure a zobrazí se banner s odkazem Na povolení neaktivního serveru.
• Nebo můžete spustit Enable-AzStackHCIAttestation [[-ComputerName] <String>] v PowerShellu.
• Servery můžete odstranit nebo odebrat z clusteru jako obvykle. Po odebrání z clusteru bude AZSHCI_HOST-IMDS_DO_NOT_MODIFY vSwitch na serveru stále existovat. Pokud plánujete přidat server zpět do clusteru později, můžete ho nechat, nebo ho můžete odebrat ručně.

Další kroky

• Rozšířené aktualizace zabezpečení (ESU) ve službě Azure Stack HCI
• Přehled Služby Azure Stack HCI
• Nejčastější dotazy k Azure Stack HCI