Comprobación de Azure para máquinas virtuales

> Se aplica a: Azure Stack HCI, versión 23H2 y posteriores.

Microsoft Azure ofrece una variedad de cargas de trabajo y funcionalidades diferenciadas diseñadas para ejecutarse solo en Azure. Azure Stack HCI amplía muchas de las mismas ventajas que obtiene de Azure, mientras se ejecuta en los mismos entornos locales o perimetrales conocidos y de alto rendimiento.

La comprobación de Azure para máquinas virtuales permite que las cargas de trabajo exclusivas de Azure admitidas funcionen fuera de la nube. Esta característica, modelada después del servicio de atestación IMDS en Azure, es un servicio de atestación de plataforma integrado que está habilitado de forma predeterminada en Azure Stack HCI 23H2 o posterior. Ayuda a proporcionar garantías para que estas máquinas virtuales funcionen en otros entornos de Azure.

Para más información sobre la versión anterior de esta característica en Azure Stack HCI, versión 22H2 o anterior, consulte Ventajas de Azure en Azure Stack HCI.

Ventajas disponibles en Azure Stack HCI

La comprobación de Azure para la máquina virtual le permite usar estas ventajas disponibles solo en Azure Stack HCI:

Carga de trabajo	Qué es	Cómo obtener ventajas
Actualización de seguridad extendida (ESU)	Obtenga actualizaciones de seguridad sin costo adicional para máquinas virtuales sql y Windows Server de un extremo de soporte técnico en Azure Stack HCI. Para más información, consulte Free Extended Security Novedades (ESU) en Azure Stack HCI.	Debe habilitar la compatibilidad con el sistema operativo heredado para las máquinas virtuales anteriores que ejecutan la versión Windows Server 2012 o versiones anteriores con la Novedades pila de mantenimiento más reciente.
Azure Virtual Desktop (AVD)	Los hosts de sesión de AVD solo se pueden ejecutar en la infraestructura de Azure. Active las máquinas virtuales de varias sesiones de Windows en Azure Stack HCI mediante la comprobación de máquinas virtuales de Azure. Se siguen aplicando los requisitos de licencia para AVD. Consulte Precios de Azure Virtual Desktop.	Se activa automáticamente para las máquinas virtuales que ejecutan la versión Windows 11 varias sesiones con la actualización 4B publicada el 9 de abril de 2024 (22H2: KB5036893, 21H2: KB5036894) o posterior. Debe habilitar la compatibilidad con el sistema operativo heredado para las máquinas virtuales que ejecutan la versión Windows 10 varias sesiones con la actualización 4B publicada el 9 de abril de 2024 KB5036892 o posterior.
Windows Server Datacenter: Azure Edition	Las máquinas virtuales de Azure Edition solo se pueden ejecutar en la infraestructura de Azure. Active las máquinas virtuales de Windows Server Azure Edition y use las últimas innovaciones de Windows Server y otras características exclusivas. Se siguen aplicando los requisitos de licencia. Consulte formas de licencia de máquinas virtuales Windows Server en Azure Stack HCI.	Se activa automáticamente para las máquinas virtuales que ejecutan Windows Server Azure Edition 2022 con la actualización 4B publicada el 9 de abril de 2024 (KB5036909) o posterior.
Configuración de invitado de Azure Policy	Obtenga Azure Policy configuración de invitado sin costo alguno. Esta extensión de Arc permite la auditoría y configuración de la configuración del sistema operativo como código para servidores y máquinas virtuales.	Agente de Arc versión 1.39 o posterior. Consulte la versión más reciente del agente de Arc.

Nota

Para garantizar la funcionalidad continua, actualice las máquinas virtuales en Azure Stack HCI a la actualización acumulativa más reciente antes del 17 de junio de 2024. Esta actualización es esencial para que las máquinas virtuales sigan usando las ventajas de Azure. Consulte la entrada de blog de Azure Stack HCI para más información.

Architecture

Esta sección es una lectura opcional y explica cómo funciona la comprobación de máquinas virtuales de Azure en Azure Stack HCI "en segundo plano".

La comprobación de máquinas virtuales de Azure se basa en un servicio de atestación de plataforma integrado en Azure Stack HCI. Este servicio se modela después del mismo servicio de atestación imDS que se ejecuta en Azure y devuelve una carga casi idéntica. La principal diferencia es que se ejecuta de forma local y, por tanto, garantiza que las máquinas virtuales se ejecuten en Azure Stack HCI en lugar de Azure.

1. La comprobación de máquinas virtuales de Azure está activada de forma predeterminada con Azure Stack HCI que ejecuta la versión 23H2 o posterior. Durante el inicio del servidor, HciSvc genera un servicio de integración a través de sockets de Hyper-V, es decir, (VMBus) para facilitar la comunicación segura entre las máquinas virtuales y los servidores.

   Compatibilidad con el sistema operativo heredado: las cargas de trabajo que no pueden realizar llamadas API de Win32 o consultar directamente un servicio de integración deben habilitar la compatibilidad con el sistema operativo heredado. Esta configuración proporciona un punto de conexión REST privado y no enrutable a las máquinas virtuales del mismo servidor.

   Para habilitar este punto de conexión, se configura un vSwitch interno en el servidor de Azure Stack HCI (denominado AZSHCI_HOST-IMDS_DO_NOT_MODIFY). Después, las máquinas virtuales deben tener una NIC configurada (AZSHCI_GUEST-IMDS_DO_NOT_MODIFY) y conectadas al mismo vSwitch.

   Nota

   La modificación o eliminación de este conmutador y la NIC impiden que la comprobación de la máquina virtual de Azure funcione correctamente. Si se producen errores, intente desactivar y, a continuación, vuelva a activar la compatibilidad con el sistema operativo heredado.

2. Cada vez que Azure Stack HCI se sincroniza con Azure, HciSvc obtiene un certificado de Azure y lo almacena de forma segura dentro de un enclave en cada servidor.

   Nota

   Los certificados se renuevan cada vez que el clúster de Azure Stack HCI se sincroniza con Azure y cada renovación es válida durante 30 días. Siempre que mantenga los requisitos de conectividad habituales de 30 días para Azure Stack HCI, no se requiere ninguna acción de usuario para renovar los certificados.

3. Para activar las ventajas, las cargas de trabajo de consumidor solicitan atestación de los servidores. Intentan enviar solicitudes a través de VM Bus, o también pueden consultar el punto de conexión rest mediante los componentes de red configurados en la compatibilidad con el sistema operativo heredado. Se admiten ambos enfoques para la comunicación con el servidor de máquinas virtuales y pueden coexistir en el mismo clúster.

   Nota

   Al usar la compatibilidad con el sistema operativo heredado, debe habilitar manualmente el acceso a las máquinas virtuales que requieren la activación de las ventajas.

   A continuación, HciSvc devuelve una respuesta firmada mediante el certificado de Azure que almacenó. Los consumidores comprueban la respuesta y activan las ventajas asociadas.

Administración de la comprobación de máquinas virtuales de Azure

La comprobación de la máquina virtual de Azure se habilita automáticamente de forma predeterminada en Azure Stack HCI 23H2 o posterior. En las instrucciones siguientes se describen los requisitos previos para usar esta característica y los pasos para administrar las ventajas (opcional).

Nota

Para habilitar la Novedades de seguridad extendida (ESU), debe realizar una configuración adicional y activar la compatibilidad con el sistema operativo heredado.

Requisitos previos del host

• Asegúrese de que tiene acceso a un sistema de Azure Stack HCI, versión 23H2. Todos los servidores deben estar en línea, registrados y en clúster implementados. Para más información, consulte Registro de los servidores con Arc y consulte Implementación a través de Azure Portal.
• Instalación de Hyper-V y RSAT-Hyper-V-Tools.
• (Opcional) Si usa Windows Admin Center, debe instalar la extensión Cluster Manager (versión 2.319.0) o posterior.

Requisitos previos de la máquina virtual

• Asegúrese de actualizar las máquinas virtuales. Consulte los requisitos de versión de las cargas de trabajo.

• Active la interfaz de servicio invitado de Hyper-V. Consulte las instrucciones de Windows Admin Center o de PowerShell.

Puede administrar la comprobación de máquinas virtuales de Azure mediante Windows Admin Center o PowerShell, o ver su estado mediante la CLI de Azure o el Azure Portal. En las siguientes secciones se describe cada método.

Windows Admin Center

Comprobación del estado del servidor de la comprobación de máquinas virtuales de Azure

1. En Windows Admin Center, seleccione Administrador de clústeres en el menú desplegable superior, vaya al clúster que quiere activar y, después, en Configuración, seleccione Comprobación de Azure para vm.

2. Para comprobar el estado del servidor de comprobación de máquinas virtuales de Azure:

   • Estado de nivel de clúster: el estado del host aparece como Activado.

   • Estado de nivel de servidor: en la pestaña Servidor del panel, compruebe que el estado de cada servidor se muestra como Activo en la tabla.

     

Solución de problemas de servidores

• En la pestaña Servidor , si uno o varios servidores aparecen como Expirados:
  • Si el servidor no se ha sincronizado con Azure durante más de 30 días, su estado aparece como Expirado o Inactivo. Seleccione Sincronizar con Azure para programar una sincronización manual.

Administración de ventajas activadas en máquinas virtuales

1. Para comprobar qué ventajas se activan en las máquinas virtuales, vaya a la pestaña Máquinas virtuales .

2. El panel muestra el número de máquinas virtuales con:

   • Ventajas activas: estas máquinas virtuales tienen características exclusivas de Azure activadas a través de la comprobación de máquinas virtuales de Azure.
   • Ventajas inactivas: estas máquinas virtuales tienen características exclusivas de Azure que necesitan una acción adicional antes de la activación.
   • Desconocido: no podemos determinar las ventajas aptas para estas máquinas virtuales porque el intercambio de datos de Hyper-V está desactivado. Consulte la siguiente sección de solución de problemas.
   • No hay ventajas aplicables: estas máquinas virtuales no tienen características exclusivas de Azure y, por tanto, no requieren la comprobación de máquinas virtuales de Azure.

3. En la tabla se muestra la ventaja apta que se aplica a cada máquina virtual. Consulte la lista completa de las ventajas disponibles en Azure Stack HCI.

   

Solución de problemas de máquinas virtuales

• En la pestaña Máquinas virtuales , si una o varias máquinas virtuales aparecen como ventajas inactivas:

  • Si la acción sugerida es Instalar actualizaciones, es posible que no tenga la versión mínima del sistema operativo necesaria para la ventaja. Actualice la máquina virtual para cumplir los requisitos de versión de las cargas de trabajo.
  • Si la acción sugerida es Activar la interfaz de servicio invitado, selecciónela y abra el panel de contexto para habilitar la interfaz de servicio invitado de Hyper-V. Esta característica es necesaria para que las máquinas virtuales se comuniquen con el host a través de VMbus.
  • Si la acción sugerida está relacionada con la compatibilidad con el sistema operativo heredado, consulte Solución de problemas de compatibilidad con el sistema operativo heredado.

• En la pestaña Máquinas virtuales , si una o varias máquinas virtuales aparecen como Desconocidas:

  • Si desea determinar las ventajas disponibles para estas máquinas virtuales, puede hacerlo manualmente comprobando la lista completa de ventajas disponibles en Azure Stack HCI o Windows Admin Center puede mostrar esta información. Para acceder a la información a través de Windows Admin Center, habilite el intercambio de datos de Hyper-V (KVP) para las máquinas virtuales seleccionando la acción denominada Activar intercambio de datos de Hyper-V.

PowerShell

Comprobación del estado del servidor de la comprobación de máquinas virtuales de Azure

• Cuando la configuración de comprobación de la máquina virtual de Azure se realiza correctamente, puede ver el estado del host. Compruebe la propiedad de atestación IMDS del clúster mediante la ejecución del siguiente comando:

  Get-AzureStackHCI
  

• O bien, para ver el estado de comprobación de la máquina virtual de Azure para los servidores, ejecute el siguiente comando:

  Get-AzureStackHCIAttestation [[-ComputerName] <string>]
  

Solución de problemas de servidores

• Si la comprobación de máquinas virtuales de Azure para uno o varios servidores aún no está sincronizado y renovado con Azure, puede aparecer como Expirado o Inactivo. Programe una sincronización manual:

  Sync-AzureStackHCI
  

Administración de las ventajas activadas en máquinas virtuales

• Para comprobar el acceso a la comprobación de máquinas virtuales de Azure, ejecute el siguiente comando:

  Get-AzStackHCIVMAttestation
  

  Nota

  Una máquina virtual compatible con v2 puede comunicarse con el servidor mediante VMBus. Por el contrario, una máquina virtual compatible con la versión v1 está configurada con compatibilidad con el sistema operativo heredado y puede acceder a la comprobación de máquinas virtuales de Azure a través de REST. Si una máquina virtual admite v1 y v2, se usa principalmente el método v2 (es decir, VMBus), pero puede revertir a v1 si la versión v2 encuentra un problema.

Solución de problemas de máquinas virtuales

• Para configurar el acceso a la comprobación de máquinas virtuales de Azure para vm, puede habilitar la interfaz de servicio invitado de Hyper-V.

  Para comprobar que la interfaz de servicio invitado de Hyper-V está habilitada, ejecute:

  Get-VMIntegrationService [[-VMName] <VMName>] -Name "Guest Service Interface"
  

• Para activar la interfaz de servicio invitado de Hyper-V:

  Enable-VMIntegrationService [[-VMName] <VMName>] -Name "Guest Service Interface"
  

• Para comprobar que las máquinas virtuales pueden acceder a la comprobación de máquinas virtuales de Azure en el host, ejecute el siguiente comando en el host:

  Invoke-RestMethod -Headers @{"Metadata"="true"} -Method GET -Uri "http://127.0.0.1:42542/metadata/attested/document?api-version=2018-10-01" –usedefaultcredentials
  

Azure Portal

1. En la página del recurso del clúster de Azure Stack HCI, vaya a la pestaña Configuration (Configuración).

2. En la característica Comprobación de Azure para máquinas virtuales, vea el estado de atestación del host.

   

CLI de Azure

La CLI de Azure está disponible para instalarse en entornos windows, macOS y Linux. También se puede ejecutar en Azure Cloud Shell. En esta sección se describe cómo usar Bash en Azure Cloud Shell. Para obtener más información, consulte Inicio rápido para Azure Cloud Shell.

Inicie Azure Cloud Shell y use la CLI de Azure para comprobar la comprobación de máquinas virtuales de Azure siguiendo estos pasos:

1. Configuración de parámetros de la suscripción, el grupo de recursos y el nombre del clúster

   subscription="00000000-0000-0000-0000-000000000000" # Replace with your subscription ID
   resourceGroup="hcicluster-rg" # Replace with your resource group name
   clusterName="HCICluster" # Replace with your cluster name
   
   az account set --subscription "${subscription}"
   

2. Para ver el estado de comprobación de la máquina virtual de Azure en un clúster, ejecute el siguiente comando:

   az stack-hci cluster list \
   --resource-group "${resourceGroup}" \
   --query "[?name=='${clusterName}'].{Name:name, AzureBenefitsHostAttestation:reportedProperties.imdsAttestation}" \
   -o table
   

Compatibilidad con el sistema operativo heredado

Para las máquinas virtuales anteriores que carecen de la funcionalidad de Hyper-V necesaria (interfaz de servicio invitado) para comunicarse directamente con el host, debe configurar los componentes de red tradicionales para la comprobación de máquinas virtuales de Azure. Si tiene estas cargas de trabajo, como La seguridad extendida Novedades (ESU), siga las instrucciones de esta sección para configurar la compatibilidad con el sistema operativo heredado.

Windows Admin Center

1. Activar la compatibilidad con el sistema operativo heredado en el host

1. En Windows Admin Center, seleccione Administrador de clústeres en el menú desplegable superior, vaya al clúster que desea activar y, después, en Configuración, seleccione Comprobaciones de Azure para vm.

2. En la sección compatibilidad con el sistema operativo heredado, seleccione Cambiar estado. Seleccione Activado en el panel de contexto. Esta configuración también habilita el acceso a redes para todas las máquinas virtuales existentes. Debe activar manualmente la compatibilidad con el sistema operativo heredado para las máquinas virtuales nuevas que cree más adelante.

3. Seleccione Cambiar estado para confirmarlo. Los servidores pueden tardar unos minutos en reflejar los cambios.

4. Cuando la compatibilidad con el sistema operativo heredado está activada correctamente:

   • Compruebe que la compatibilidad con el sistema operativo heredado aparece como Activado.

   • En la pestaña Servidor del panel, compruebe que la compatibilidad con el sistema operativo heredado para cada servidor se muestra como Activado en la tabla.

     

2. Habilitación del acceso para nuevas máquinas virtuales

Debe habilitar las redes del sistema operativo heredadas para las máquinas virtuales nuevas que cree después de la primera configuración. Para administrar el acceso a las máquinas virtuales, vaya a la pestaña Máquinas virtuales . Cualquier máquina virtual que requiera acceso al sistema operativo heredado aparece como Inactivo. Seleccione la acción configurar redes de sistema operativo heredadas para la máquina virtual seleccionada o para todas las máquinas virtuales existentes del clúster.

Nota

Para habilitar correctamente la compatibilidad con el sistema operativo heredado en las máquinas virtuales de generación 1, la máquina virtual primero debe apagarse para permitir que se agregue la NIC.

PowerShell

1. Activar la compatibilidad con el sistema operativo heredado en el host

• Ejecute el siguiente comando desde una ventana de PowerShell con privilegios elevados en el clúster de Azure Stack HCI:

  Enable-AzStackHCIAttestation
  

• O bien, si desea agregar todas las máquinas virtuales existentes en la instalación, puede ejecutar el siguiente comando:

  Enable-AzStackHCIAttestation -AddVM
  

• Compruebe que la compatibilidad con el sistema operativo heredado está activada:

  Get-AzureStackHCIAttestation [[-ComputerName] <string>]
  

Solución de problemas de servidores

• Para desactivar y restablecer la compatibilidad con el sistema operativo heredado en el clúster, ejecute el siguiente comando:

  Disable-AzStackHCIAttestation -RemoveVM
  

2. Habilitación del acceso para máquinas virtuales

• Para configurar el acceso a redes para máquinas virtuales seleccionadas, ejecute el siguiente comando en el clúster de Azure Stack HCI:

  Add-AzStackHCIVMAttestation [-VMName]
  

• O bien, para agregar todas las máquinas virtuales existentes, ejecute el siguiente comando:

  Add-AzStackHCIVMAttestation -AddAll
  

• Obtenga la lista de máquinas virtuales que tienen acceso a la compatibilidad con el sistema operativo heredado:

  Get-AzStackHCIVMAttestation
  

  Nota

  Para habilitar correctamente la compatibilidad con el sistema operativo heredado en las máquinas virtuales de generación 1, la máquina virtual primero debe apagarse para permitir que se agregue la NIC.

Solución de problemas de máquinas virtuales

• Para quitar el acceso a la compatibilidad del sistema operativo heredado con las máquinas virtuales seleccionadas:

  Remove-AzStackHCIVMAttestation -VMName <string>
  

  O bien, para quitar el acceso de todas las máquinas virtuales existentes:

  Remove-AzStackHCIVMAttestation -RemoveAll
  

• Para comprobar que las máquinas virtuales pueden acceder a la compatibilidad con el sistema operativo heredado en el host, ejecute el siguiente comando en la máquina virtual:

  Invoke-RestMethod -Headers @{"Metadata"="true"} -Method GET -Uri http://169.254.169.253:80/metadata/attested/document?api-version=2018-10-01
  

Azure Portal

No se puede ver la compatibilidad con el sistema operativo heredado desde el Azure Portal en este momento.

CLI de Azure

La CLI de Azure está disponible para instalarse en entornos windows, macOS y Linux. También se puede ejecutar en Azure Cloud Shell. En esta sección se describe cómo usar Bash en Azure Cloud Shell. Para más información, consulte inicio rápido para Azure Cloud Shell.

Inicie Azure Cloud Shell y use la CLI de Azure para comprobar la comprobación de máquinas virtuales de Azure siguiendo estos pasos:

1. Configure los parámetros de la suscripción, el grupo de recursos y el nombre del clúster:

   subscription="00000000-0000-0000-0000-000000000000" # Replace with your subscription ID
   resourceGroup="hcicluster-rg" # Replace with your resource group name
   clusterName="HCICluster" # Replace with your cluster name
   
   az account set --subscription "${subscription}"
   

2. Para ver el estado de compatibilidad del sistema operativo heredado en un clúster, ejecute el siguiente comando:

   az stack-hci cluster list \
   --resource-group "${resourceGroup}" \
   --query "[?name=='${clusterName}'].{Name:name, AzureBenefitsHostAttestation:reportedProperties.supportedCapabilities}" \
   -o table
   

Preguntas más frecuentes

En esta sección se proporcionan respuestas a algunas preguntas más frecuentes sobre el uso de Ventajas de Azure.

¿Qué cargas de trabajo exclusivas de Azure puedo habilitar con la comprobación de máquinas virtuales de Azure?

Consulte la lista completa aquí.

¿Cuesta algo habilitar la comprobación de máquinas virtuales de Azure?

No. La activación de la comprobación de máquinas virtuales de Azure no conlleva cargos adicionales.

¿Puedo usar la comprobación de máquinas virtuales de Azure en entornos distintos de Azure Stack HCI?

No. La comprobación de máquinas virtuales de Azure es una característica integrada en el sistema operativo Azure Stack HCI y solo se puede usar en Azure Stack HCI.

Si acabo de actualizar a 23H2 de 22H2 y he activado anteriormente la característica Ventajas de Azure, ¿necesito hacer algo nuevo?

Si ha actualizado un clúster que anteriormente tenía ventajas de Azure en Azure Stack HCI configurado para las cargas de trabajo, no es necesario hacer nada al actualizar a 23H2. Al actualizar, la característica permanece habilitada y también se activa la compatibilidad con el sistema operativo heredado. Sin embargo, si desea usar una manera mejorada de realizar la comunicación de máquina virtual a host a través de VM Bus en 23H2, asegúrese de que tiene los requisitos previos de host necesarios y los requisitos previos de la máquina virtual.

Acabo de configurar la comprobación de máquina virtual de Azure en mi clúster. Cómo asegurarse de que la comprobación de la máquina virtual de Azure permanece activa?

• En la mayoría de los casos, no se requiere ninguna acción de usuario. Azure Stack HCI renueva automáticamente la comprobación de la máquina virtual de Azure cuando se sincroniza con Azure.
• Sin embargo, si el clúster se desconecta durante más de 30 días y la comprobación de la máquina virtual de Azure se muestra como Expirado, puede sincronizar manualmente con PowerShell y Windows Admin Center. Para más información, consulte ¿Qué ocurre si se supera el límite de 30 días?.

¿Qué ocurre cuando se implementan nuevas máquinas virtuales o se eliminan máquinas virtuales?

• Al implementar nuevas máquinas virtuales que requieren la comprobación de la máquina virtual de Azure, se activan automáticamente si tienen los requisitos previos de máquina virtual correctos.

• Sin embargo, en el caso de las máquinas virtuales heredadas que usan compatibilidad con el sistema operativo heredado, puede agregar manualmente nuevas máquinas virtuales para acceder a la comprobación de máquinas virtuales de Azure mediante Windows Admin Center o PowerShell mediante las instrucciones anteriores.

• También puede eliminar y migrar máquinas virtuales como de costumbre. La NIC AZSHCI_GUEST-IMDS_DO_NOT_MODIFY sigue existiendo en la máquina virtual después de la migración. Para limpiar la NIC antes de la migración, puede quitar las máquinas virtuales de la comprobación de máquinas virtuales de Azure mediante Windows Admin Center o PowerShell mediante las instrucciones anteriores para la compatibilidad con el sistema operativo heredado, o bien puede migrar primero y eliminar manualmente las NIC después.

¿Qué ocurre cuando se agregan o quitan servidores?

• Al agregar un servidor, se activa automáticamente si tiene los requisitos previos de host correctos.
• Si usa compatibilidad con el sistema operativo heredado, es posible que tenga que habilitar manualmente estos servidores. Ejecute Enable-AzStackHCIAttestation [[-ComputerName] <String>] en PowerShell. También puede eliminar servidores o quitarlos del clúster como de costumbre. El AZSHCI_HOST-IMDS_DO_NOT_MODIFY vSwitch sigue existiendo en el servidor después de la eliminación del clúster. Puede dejarlo si planea volver a agregar el servidor al clúster más adelante o puede quitarlo manualmente.

Pasos siguientes

• Actualizaciones de seguridad ampliadas (ESU) en Azure Stack HCI
• Introducción a Azure Stack HCI
• Preguntas más frecuentes sobre Azure Stack HCI