Bereitstellen eines vertrauenswürdigen Starts für Azure Arc-VMs in Azure Stack HCI, Version 23H2

Gilt für: Azure Stack HCI, Version 23H2

In diesem Artikel wird beschrieben, wie Sie den vertrauenswürdigen Start für virtuelle Azure Arc-Computer (VMs) in Azure Stack HCI, Version 23H2, bereitstellen.

Voraussetzungen

Stellen Sie sicher, dass Sie Zugriff auf einen Azure Stack HCI-Cluster der Version 23H2 haben, der bereitgestellt und bei Azure registriert ist. Weitere Informationen finden Sie unter Bereitstellen mit dem Azure-Portal.

Erstellen einer Arc-VM mit vertrauenswürdigem Start

Sie können eine vertrauenswürdige Start-VM mit Azure-Portal oder mithilfe von Azure Command-Line Interface (CLI) erstellen. Verwenden Sie die folgenden Registerkarten, um eine Methode auszuwählen.

Azure portal

Führen Sie zum Erstellen einer Arc-VM mit vertrauenswürdigem Start in Azure Stack HCI die Schritte unter Erstellen virtueller Arc-Computer in Azure Stack HCI mithilfe von Azure-Portal aus, und führen Sie die folgenden Änderungen aus:

1. Wählen Sie beim Erstellen des virtuellen Computers als Sicherheitstyp Vertrauenswürdige Start-VMs aus.

   

2. Wählen Sie ein VM-Gastbetriebssystemimage aus der Liste der unterstützten Images aus:

   

3. Nachdem eine VM erstellt wurde, wechseln Sie zur Seite VM-Eigenschaften , und überprüfen Sie, ob der angezeigte Sicherheitstyp Vertrauenswürdiger Start ist.

   

Azure-Befehlszeilenschnittstelle

Führen Sie zum Erstellen einer Arc-VM mit vertrauenswürdigem Start in Azure Stack HCI die Schritte unter Erstellen von Arc-VMs in Azure Stack HCI mithilfe der Azure CLI aus, und führen Sie die folgenden Änderungen aus:

1. Erstellen Sie ein VM-Image mithilfe eines unterstützten VM-Gastbetriebssystemimages durch Vertrauenswürdiger Start von Azure Marketplace. Weitere Informationen finden Sie unter Erstellen eines Azure Stack HCI-VM-Images mit Azure Marketplace.

2. Erstellen Sie einen virtuellen Computer mithilfe der CLI wie folgt:

   $vmName="<Name of the VM>" 
   $subscription="<Subscription ID associated with your cluster>" 
   $resourceGroup="<Resource group name for your cluster>" 
   $location="<Location for your Azure Stack HCI cluster>" 
   $customLocationID=(az customlocation show --resource-group $resource_group --name "<custom location name for HCI cluster>" --query id -o tsv) 
   $guestName="<Name of the guest>" 
   $userName="<Username for VM>" 
   $password="<Password for VM>" 
   $galleryImageName="<Name of VM guest image>" 
   $vNic="<Name of virtual network interface>" 
   
   az stack-hci-vm create --name $vmName --subscription $subscription --resource-group $resourceGroup --custom-location=$customLocationID --location $location --size="Default" --computer-name $guestName --admin-username $userName --admin-password $password --image $galleryImageName --nics $vNic --enable-secure-boot true --enable-vtpm true --security-type "TrustedLaunch"
   

   Beispielausgabe:

   {
     "extendedLocation": {
       "name": "/subscriptions/myhci-sub/resourceGroups/myhci-rg/Microsoft.ExtendedLocation/customLocations/myhci-cl",
       "type": "CustomLocation"
     },
     "id": "/subscriptions/myhci-sub/resourceGroups/myhci-rg/providers/Microsoft.HybridCompute/machines/tvm1/providers/Microsoft.AzureStackHCI/virtualMachineInstances/default",
     "name": "default",
     "properties": {
       "hardwareProfile": {
         "dynamicMemoryConfig": {
           "maximumMemoryMb": null,
           "minimumMemoryMb": null,
           "targetMemoryBuffer": null
         },
         "memoryMb": 4096,
         "processors": 4,
         "vmSize": "Custom"
       },
       "instanceView": {
         "vmAgent": {
           "statuses": []
         }
       },
       "networkProfile": {
         "networkInterfaces": [
           {
             "id": "ram-nic"
           }
         ]
       },
       "osProfile": {
         "adminPassword": null,
         "adminUsername": "admin",
         "computerName": "myhci-tvm",
         "linuxConfiguration": {
           "disablePasswordAuthentication": null,
           "provisionVmAgent": false,
           "provisionVmConfigAgent": false,
           "ssh": {
             "publicKeys": null
           }
         },
         "windowsConfiguration": {
           "enableAutomaticUpdates": null,
           "provisionVmAgent": false,
           "provisionVmConfigAgent": false,
           "ssh": {
             "publicKeys": null
           },
           "timeZone": null
         }
       },
       "provisioningState": "Succeeded",
       "securityProfile": {
         "enableTpm": true,
         "securityType": "TrustedLaunch",
         "uefiSettings": {
           "secureBootEnabled": true
         }
       },
       "status": {
         "powerState": "Running"
       },
       "storageProfile": {
         "dataDisks": [],
         "imageReference": {
           "id": "/subscriptions/myhci-sub/resourceGroups/myhci-rg/providers/Microsoft.AzureStackHCI/marketplacegalleryimages/Win11EntMulti21H2",
           "resourceGroup": "myhci-rg"
         },
         "osDisk": {
           "id": null,
           "osType": "Windows"
         },
         "storagepathId": null
       },
       "vmId": "myhci-tvm-1234567890"
     },
     "resourceGroup": "myhci-rg",
     "systemData": {
       "createdAt": "2023-10-24T19:15:47.152610+00:00",
       "createdBy": "registration@contoso.com",
       "createdByType": "User",
       "lastModifiedAt": "2023-10-24T19:41:05.196469+00:00",
       "lastModifiedBy": "319f651f-7ddb-4fc6-9857-7aef9250bd05",
       "lastModifiedByType": "Application"
     },
     "tags": null,
     "type": "microsoft.azurestackhci/virtualmachineinstances"
   }
   

3. Überprüfen Sie nach der Erstellung des virtuellen Computers den Sicherheitstyp des virtuellen Computers als vertrauenswürdiger Start.

4. Führen Sie das folgende Cmdlet aus, um den Besitzerknoten des virtuellen Computers zu finden:

   Get-ClusterGroup $vmName
   

5. Führen Sie das folgende Cmdlet auf dem Besitzerknoten des virtuellen Computers aus:

   (Get-VM $vmName).GuestStateIsolationType
   

6. Stellen Sie sicher, dass der Wert TrustedLaunch zurückgegeben wird.

Beispiel

In diesem Beispiel wird eine Arc-VM mit vertrauenswürdigem Start Windows 11 Gast mit aktivierter BitLocker-Verschlüsselung ausgeführt. Hier die Schritte zum Ausführen des Szenarios:

1. Erstellen Sie eine Arc-VM mit vertrauenswürdigem Start, auf der ein unterstütztes Windows 11 Gastbetriebssystem ausgeführt wird.

2. Aktivieren Sie die BitLocker-Verschlüsselung für das Betriebssystemvolume auf dem Win 11-Gast.

   Melden Sie sich beim Windows 11 Gast an, und aktivieren Sie die BitLocker-Verschlüsselung (für das Betriebssystemvolume): Geben Sie im Suchfeld auf der Taskleiste BitLocker verwalten ein, und wählen Sie es dann aus der Ergebnisliste aus. Wählen Sie BitLocker aktivieren aus, und befolgen Sie dann die Anweisungen zum Verschlüsseln des Betriebssystemvolumes (C:). BitLocker verwendet vTPM als Schlüsselschutz für das Betriebssystemvolume.

3. Migrieren Sie die VM zu einem anderen Knoten im Cluster. Führen Sie den folgenden PowerShell-Befehl aus:

   Move-ClusterVirtualMachineRole -Name $vmName -Node <destination node name> -MigrationType Shutdown
   

4. Vergewissern Sie sich, dass der Besitzerknoten des virtuellen Computers der angegebene Zielknoten ist:

   Get-ClusterGroup $vmName
   

5. Überprüfen Sie nach Abschluss der VM-Migration, ob der virtuelle Computer verfügbar und BitLocker aktiviert ist.

6. Überprüfen Sie, ob Sie sich beim Windows 11 Gast auf dem virtuellen Computer anmelden können und ob die BitLocker-Verschlüsselung für das Betriebssystemvolume aktiviert bleibt. Wenn Sie dies tun können, wird bestätigt, dass der vTPM-Zustand während der VM-Migration beibehalten wurde.

   Wenn der vTPM-Zustand während der VM-Migration nicht beibehalten wurde, hätte der VM-Start beim Gaststart zur BitLocker-Wiederherstellung geführt. Das heißt, Sie wären beim Versuch, sich beim Windows 11 Gast anzumelden, zur Eingabe des BitLocker-Wiederherstellungskennworts aufgefordert worden. Dies lag daran, dass sich die Startmessungen (in der vTPM) der migrierten VM auf dem Zielknoten von denen der ursprünglichen VM unterscheiden.

7. Erzwingen Sie für den virtuellen Computer ein Failover auf einen anderen Knoten im Cluster.

   1. Bestätigen Sie den Besitzerknoten des virtuellen Computers mithilfe des folgenden Befehls:

      Get-ClusterGroup $vmName
      

   2. Verwenden Sie den Failovercluster-Manager, um den Clusterdienst auf dem Besitzerknoten wie folgt zu beenden: Wählen Sie den Besitzerknoten aus, wie im Failovercluster-Manager angezeigt.  Wählen Sie im rechten Bereich Aktionendie Option Weitere Aktionen und dann Clusterdienst beenden aus.

   3. Das Beenden des Clusterdiensts auf dem Besitzerknoten führt dazu, dass die VM automatisch zu einem anderen verfügbaren Knoten im Cluster migriert wird. Starten Sie den Clusterdienst anschließend neu.

8. Überprüfen Sie nach Abschluss des Failovers, ob der virtuelle Computer verfügbar und BitLocker nach dem Failover aktiviert ist.

9. Vergewissern Sie sich, dass der Besitzerknoten des virtuellen Computers der angegebene Zielknoten ist:

   Get-ClusterGroup $vmName
   

Nächste Schritte

• Verwalten des vertrauenswürdigen Arc-VM-Gaststatusschutzschlüssels