Azure-Vorteile in Azure Stack HCI (22H2 und früher)

Artikel
11/28/2023

Gilt für: Azure Stack HCI, Versionen 22H2 und 21H2

Hinweis

Dieser Artikel gilt nur für Azure Stack HCI, Version 22H2 und früher. Informationen zu Version 23H2 und höher finden Sie in der Dokumentation zur Azure-Überprüfung für VMs.

Microsoft Azure bietet eine Reihe differenzierter Workloads und Funktionen, die nur für die Ausführung in Azure konzipiert sind. Azure Stack HCI erweitert viele Vorteile, die Sie von Azure erhalten, und wird in den vertrauten und leistungsstarken lokalen Umgebungen oder Edgeumgebungen ausgeführt.

Azure-Vorteile bieten unterstützten, für Azure exklusiven Workloads die Möglichkeit, außerhalb der Cloud zu arbeiten. Sie können Azure-Vorteile ohne zusätzliche Kosten in Azure Stack HCI aktivieren. Wenn Sie über Windows Server-Workloads verfügen, wird empfohlen, dieses Feature zu aktivieren.

Nehmen Sie sich einige Minuten Zeit, um sich das Einführungsvideo zu Azure-Vorteilen anzusehen:

Verfügbare Azure-Vorteile in Azure Stack HCI

Wenn Sie Azure-Vorteile aktivieren, können Sie diese für Azure exklusiven Workloads in Azure Stack HCI verwenden:

Arbeitsauslastung	Unterstützte Versionen	Beschreibung
Windows Server 2022 Datacenter: Azure Edition	2022 Edition oder höher	Ein reines Azure-Gastbetriebssystem, das alle neuesten Windows Server-Innovationen und weitere exklusive Features enthält. Weitere Informationen: Automanage für Windows Server.
Erweiterte Sicherheitsupdates (ESUs)	Sicherheitsupdates vom 12. Oktober 2021 oder später	Ein Programm, mit dem Kunden weiterhin Sicherheitsupdates für End-of-Support-SQL Server- und Windows Server-VMs erhalten können, die jetzt kostenlos sind, wenn sie in Azure Stack HCI ausgeführt werden. Weitere Informationen finden Sie unter Kostenlose erweiterte Sicherheitsupdates (ESU) über Azure Stack HCI.
Azure Policy-Gastkonfiguration	Arc-Agent-Version 1.13 oder höher	Ein Feature, das Betriebssystemeinstellungen sowohl für Host- als auch für Gastcomputer als Code überwachen oder konfigurieren kann. Weitere Informationen: Grundlegendes zum Gastkonfigurationsfeature von Azure Policy.
Azure Virtual Desktop	Nur für Editionen mit mehreren Sitzungen. Windows 10 Enterprise mehrere Sitzungen oder höher.	Ein Dienst, mit dem Sie Azure Virtual Desktop-Sitzungshosts in Ihrer Azure Stack HCI-Infrastruktur bereitstellen können. Weitere Informationen finden Sie in der Übersicht über Azure Virtual Desktop für Azure Stack HCI.

Funktionsweise

Dieser Abschnitt ist optional und erläutert, wie Azure-Vorteile in HCI im Hintergrund funktionieren.

Azure-Vorteile baut auf einem integrierten Plattformnachweisdienst in Azure Stack HCI auf und sorgt dafür, dass VMs tatsächlich in Azure-Umgebungen ausgeführt werden.

Dieser Dienst ist nach demselben IMDS-Nachweisdienst modelliert, der in Azure ausgeführt wird, um einige der selben Workloads und Vorteile zu ermöglichen, die Kunden in Azure zur Verfügung stehen. Azure-Vorteile gibt eine nahezu identische Nutzlast zurück. Der Hauptunterschied besteht darin, dass der Dienst lokal ausgeführt wird und daher garantiert, dass VMs in Azure Stack HCI und nicht in Azure ausgeführt werden.

Durch Aktivieren von Azure-Vorteilen wird der Dienst gestartet, der in Ihrem Azure Stack HCI-Cluster ausgeführt wird:

Auf jedem Server ruft HciSvc ein Zertifikat von Azure ab und speichert es sicher in einer Enclave auf dem Server.

Hinweis

Zertifikate werden jedes Mal verlängert, wenn der Azure Stack HCI-Cluster mit Azure synchronisiert wird, und jede Verlängerung ist 30 Tage lang gültig. Solange Sie die üblichen Konnektivitätsanforderungen von 30 Tagen für Azure Stack HCI beibehalten, ist keine Benutzeraktion erforderlich.
HciSvc macht einen privaten und nicht routingfähigen REST-Endpunkt verfügbar, auf den nur VMs auf demselben Server zugreifen können. Um diesen Endpunkt zu aktivieren, wird ein interner vSwitch auf dem Azure Stack HCI-Host konfiguriert (mit dem Namen AZSHCI_HOST-IMDS_DO_NOT_MODIFY). Für VMs muss dann eine NIC konfiguriert und an denselben vSwitch angefügt sein (AZSHCI_GUEST-IMDS_DO_NOT_MODIFY).

Hinweis

Das Ändern oder Löschen dieses Switches und der NIC verhindert, dass Azure-Vorteile ordnungsgemäß funktionieren. Wenn Fehler auftreten, deaktivieren Sie Azure-Vorteile im Windows Admin Center oder mithilfe der folgenden PowerShell-Anweisungen, und versuchen Sie es dann noch mal.
Consumerworkloads (z. B. Windows Server Azure Edition-Gäste) fordern einen Nachweis an. HciSvc signiert dann die Antwort mit einem Azure-Zertifikat.

Hinweis

Sie müssen den Zugriff für jeden virtuellen Computer, der Azure-Vorteile benötigt, manuell aktivieren.

Aktivieren von Azure-Vorteilen

Bevor Sie beginnen, müssen folgende Voraussetzungen erfüllt sein:

Ein Azure Stack HCI-Cluster:
- Installation von Updates: Version 21H2 mit mindestens dem Sicherheitsupdate KB5008223 vom 14. Dezember 2021 oder später.
- Registrieren von Azure Stack HCI: Alle Server müssen online und bei Azure registriert sein.
- Installation von Hyper-V and RSAT-Hyper-V-Tools.
Bei Verwendung von Windows Admin Center:
- Windows Admin Center (Version 2103 oder höher) mit der Cluster-Manager-Erweiterung (Version 2.41.0 oder höher).

Sie können Azure-Vorteile in Azure Stack HCI mit Windows Admin Center, PowerShell, Azure CLI oder Azure-Portal aktivieren. Beide Optionen werden in den nächsten Abschnitten beschrieben.

Hinweis

Damit Azure-Vorteile auf VMs der 1. Generation erfolgreich aktiviert werden können, muss die VM zunächst ausgeschaltet werden, damit die NIC hinzugefügt werden kann.

Verwalten von Azure-Vorteilen

Wählen Sie im Windows Admin Center im oberen Dropdownmenü Cluster-Manager aus, navigieren Sie zu dem Cluster, den Sie aktivieren möchten, und wählen Sie dann unter Einstellungen die Option Azure-Vorteile aus.
Wählen Sie im Bereich Azure-Vorteile die Option Aktivieren aus. Standardmäßig ist das Kontrollkästchen zum Aktivieren für alle vorhandenen VMs aktiviert. Sie können es deaktivieren und VMs später manuell hinzufügen.
Wählen Sie erneut Aktivieren aus, um die Einrichtung zu bestätigen. Es kann einige Minuten dauern, bis die Änderungen von den Servern übernommen werden.
Wenn die Einrichtung von Azure-Vorteilen erfolgreich ist, wird die Seite aktualisiert, um das Dashboard der Azure-Vorteile anzuzeigen. Gehen Sie wie folgt vor, um Azure-Vorteile für den Host zu überprüfen:
1. Überprüfen Sie, ob der Clusterstatus der Azure-Vorteile als Ein angezeigt wird.
2. Überprüfen Sie auf der Registerkarte Cluster im Dashboard, ob Azure-Vorteile in der Tabelle für jeden Server als Aktiv angezeigt werden.
Um den Zugriff auf Azure-Vorteile für VMs zu überprüfen, überprüfen Sie den Status der VMs bei aktivierten Azure-Vorteilen. Es wird empfohlen, dass für alle vorhandenen virtuellen Computer Azure-Vorteile aktiviert sind. z. B. 3 von 3 VMs.

Screenshot der Azure-Vorteile in Windows Admin Center.

Um Azure-Vorteile einzurichten, führen Sie den folgenden Befehl in einem PowerShell-Fenster mit erhöhten Rechten in Ihrem Azure Stack HCI-Cluster aus:
```
Enable-AzStackHCIAttestation
```
Oder wenn Sie alle vorhandenen VMs beim Setup hinzufügen möchten, können Sie den folgenden Befehl ausführen:
```
Enable-AzStackHCIAttestation -AddVM
```
Wenn die Einrichtung von Azure-Vorteilen erfolgreich durchgeführt wurde, können Sie den Status der Azure-Vorteile anzeigen. Überprüfen Sie die Clustereigenschaft IMDS-Nachweis, indem Sie den folgenden Befehl ausführen:
```
Get-AzureStackHCI
```
Oder führen Sie alternativ den folgenden Befehl aus, um den Status der Azure-Vorteile für Server anzuzeigen:
```
Get-AzureStackHCIAttestation [[-ComputerName] <string>]
```
Führen Sie den folgenden Befehl aus, um den Zugriff auf Azure-Vorteile für VMs zu überprüfen:
```
Get-AzStackHCIVMAttestation
```

Die Azure CLI ist für die Installation in Windows-, macOS- und Linux-Umgebungen verfügbar. Sie kann auch in Azure Cloud Shell ausgeführt werden. In diesem Dokument wird die Verwendung von Bash in Azure Cloud Shell beschrieben. Weitere Informationen finden Sie unter Schnellstart für Azure Cloud Shell.

Starten Sie Azure Cloud Shell, und verwenden Sie die Azure CLI, um die Azure-Vorteile mit den folgenden Schritten zu konfigurieren:

Einrichten von Parametern aus Ihrem Abonnement, Ihrer Ressourcengruppe und Ihrem Clusternamen

subscription="00000000-0000-0000-0000-000000000000" # Replace with your subscription ID
resourceGroup="hcicluster-rg" # Replace with your resource group name
clusterName="HCICluster" # Replace with your cluster name

az account set --subscription "${subscription}"

Führen Sie den folgenden Befehl aus, um die Azure-Vorteile status in einem Cluster anzuzeigen:

az stack-hci cluster list \
--resource-group "${resourceGroup}" \
--query "[?name=='${clusterName}'].{Name:name, AzureBenefitsHostAttestation:reportedProperties.imdsAttestation}" \
-o table

Verwalten des Zugriffs auf Azure-Vorteile für Ihre VMs – Windows Admin Center

Wählen Sie zum Aktivieren der Azure-Vorteile für VMs die Registerkarte VMs, dort in der obersten Tabelle die VMs ohne Azure-Vorteile und dann Azure-Vorteile für VMs aktivieren aus.

Screenshot: Azure-Vorteile für VMs.

Verwalten des Zugriffs auf Azure-Vorteile für Ihre VMs – Azure PowerShell

Führen Sie den folgenden Befehl auf Ihrem Azure Stack HCI-Cluster aus, um die Vorteile für ausgewählte VMs zu aktivieren:
```
Add-AzStackHCIVMAttestation [-VMName]
```
Oder führen Sie alternativ den folgenden Befehl aus, um alle vorhandenen virtuellen Computer hinzuzufügen:
```
Add-AzStackHCIVMAttestation -AddAll
```
Führen Sie optional den folgenden Befehl auf dem virtuellen Computer aus, um zu überprüfen, ob die VMs auf azure-Vorteile auf dem Host zugreifen können:
```
Invoke-RestMethod -Headers @{"Metadata"="true"} -Method GET -Uri "http://169.254.169.253:80/metadata/attested/document?api-version=2018-10-01"
```

Problembehandlung über Windows Admin Center

So deaktivieren und setzen Sie Azure-Vorteile in Ihrem Cluster zurück
- Wählen Sie auf der Registerkarte Cluster die Option Azure-Vorteile deaktivieren aus.
So entfernen Sie den Zugriff auf Azure-Vorteile für VMs
- Wählen Sie auf der Registerkarte VM die vm(s) in der obersten Tabelle VMs ohne Azure-Vorteile aus, und wählen Sie dann Azure-Vorteile für VMs aktivieren aus.
Auf der Registerkarte Cluster werden ein oder mehrere Server als Abgelaufen angezeigt:
- Wenn Azure-Vorteile für einen oder mehrere Server seit mehr als 30 Tagen nicht mit Azure synchronisiert wurden, wird der jeweilige Server als Abgelaufen oder Inaktiv angezeigt. Wählen Sie Mit Azure synchronisieren aus, um eine manuelle Synchronisierung zu planen.
Auf der Registerkarte VM werden die Hostservervorteile als Unbekanntoder Inaktiv angezeigt:
- Sie können auf diesen Hostservern keine Azure-Vorteile für VMs hinzufügen oder entfernen. Wechseln Sie zur Registerkarte Cluster, um Azure-Vorteile für Hostserver mit Fehlern zu korrigieren, und versuchen Sie dann erneut, VMs zu verwalten.

Problembehandlung über PowerShell

Führen Sie den folgenden Befehl aus, um Azure-Vorteile in Ihrem Cluster zu deaktivieren und zurückzusetzen:
```
Disable-AzStackHCIAttestation -RemoveVM
```
So entfernen Sie den Zugriff auf Azure-Vorteile für ausgewählte VMs
```
Remove-AzStackHCIVMAttestation -VMName <string>
```
Alternativ können Sie wie folgt vorgehen, um den Zugriff für alle vorhandenen VMs zu entfernen:
```
Remove-AzStackHCIVMAttestation -RemoveAll
```
Wenn Azure-Vorteile für einen oder mehrere Server noch nicht mit Azure synchronisiert und verlängert wurden, wird der jeweilige Server möglicherweise als Abgelaufen oder Inaktiv angezeigt. Planen einer manuellen Synchronisierung:
```
Sync-AzureStackHCI
```
Wenn ein Server neu hinzugefügt wurde und noch nicht mit Azure-Vorteilen eingerichtet wurde, wird er möglicherweise als Inaktiv angezeigt. Führen Sie Setup erneut aus, um den neuen Server hinzuzufügen:
```
Enable-AzStackHCIAttestation
```

Häufig gestellte Fragen

Diese häufig gestellten Fragen bieten Antworten auf einige Fragen zur Verwendung von Azure-Vorteilen.

Welche für Azure exklusiven Workloads kann ich mit Azure-Vorteilen aktivieren?

Die vollständige Liste finden Sie hier.

Kostet das Aktivieren von Azure-Vorteilen etwas?

Nein, für das Aktivieren von Azure-Vorteilen fallen keine Gebühren an.

Kann ich Azure-Vorteile in anderen Umgebungen als Azure Stack HCI verwenden?

Nein, Azure-Vorteile sind ein Feature, das in das Azure Stack HCI-Betriebssystem integriert ist und nur in Azure Stack HCI verwendet werden kann.

Ich habe soeben Azure-Vorteile in meinem Cluster eingerichtet. Wie stelle ich sicher, dass Azure-Vorteile aktiv bleiben?

In den meisten Fällen ist keine Benutzeraktion erforderlich. Azure Stack HCI verlängert die Azure-Vorteile bei der Synchronisierung mit Azure automatisch.
Wenn der Cluster jedoch länger als 30 Tage getrennt wird und Azure-Vorteile als Abgelaufen angezeigt werden, können Sie die Synchronisierung manuell mithilfe von PowerShell und Windows Admin Center ausführen. Weitere Informationen finden Sie unter Synchronisieren von Azure Stack HCI.

Was geschieht, wenn ich neue VMs bereitstelle oder VMs lösche?

Wenn Sie neue VMs bereitstellen, die Azure-Vorteile erfordern, können Sie mithilfe von Windows Admin Center oder PowerShell manuell neue VMs für den Zugriff auf Azure-Vorteile hinzufügen, indem Sie die obigen Anweisungen befolgen.
Sie können VMs weiterhin wie gewohnt löschen und migrieren. Die NIC AZSHCI_GUEST-IMDS_DO_NOT_MODIFY ist nach der Migration weiterhin auf der VM vorhanden. Um die NIC vor der Migration zu bereinigen, können Sie VMs mithilfe von Windows Admin Center oder PowerShell aus Azure-Vorteilen entfernen, indem Sie die obigen Anweisungen befolgen, oder Sie können NICs zuerst migrieren und anschließend manuell löschen.

Was geschieht, wenn ich Server hinzufüge oder entferne?

Wenn Sie einen Server hinzufügen, können Sie in Windows Admin Center zur Seite Azure-Vorteile navigieren, woraufhin ein Banner mit einem Link zu Inaktiven Server aktivieren angezeigt wird.
Alternativ können Sie auch Enable-AzStackHCIAttestation [[-ComputerName] <String>] in PowerShell ausführen.
Sie können weiterhin wie gewohnt Server löschen oder aus dem Cluster entfernen. Der vSwitch AZSHCI_HOST-IMDS_DO_NOT_MODIFY ist nach dem Entfernen aus dem Cluster weiterhin auf dem Server vorhanden. Sie können ihn belassen, wenn Sie planen, den Server später wieder zum Cluster hinzuzufügen, oder Sie können ihn manuell entfernen.