Azure-voordelen op Azure Stack HCI (22H2 en eerder)

Van toepassing op: Azure Stack HCI, versies 22H2 en 21H2

Notitie

Dit artikel is alleen bedoeld voor Azure Stack HCI versie 22H2 en eerder. Zie de documentatie voor Azure-verificatie voor VM's voor versie 23H2 en hoger.

Microsoft Azure biedt een reeks gedifferentieerde workloads en mogelijkheden die zijn ontworpen om alleen in Azure te worden uitgevoerd. Azure Stack HCI breidt veel van de voordelen uit die u van Azure krijgt, terwijl het wordt uitgevoerd in dezelfde vertrouwde on-premises of edge-omgevingen met hoge prestaties.

Met Azure Benefits kunnen ondersteunde, exclusieve Azure-workloads buiten de cloud werken. U kunt Azure Benefits in Azure Stack HCI zonder extra kosten inschakelen. Als u Windows Server-workloads hebt, raden we u aan deze in te schakelen.

Neem een paar minuten de tijd om de inleidende video over Azure Benefits te watch:

Azure-voordelen beschikbaar op Azure Stack HCI

Als u Azure Benefits inschakelt, kunt u deze exclusieve Azure-workloads gebruiken in Azure Stack HCI:

Workload	Ondersteunde versies	Wat het is
Windows Server Datacenter: Azure Edition	Editie 2022 of hoger	Een gastbesturingssysteem met alleen Azure dat alle nieuwste Windows Server-innovaties en andere exclusieve functies bevat. Meer informatie: Automatisch beheren voor Windows Server
Uitgebreide beveiligingsupdate (ESU's)	Beveiligingsupdates of hoger van 12 oktober 2021	Een programma waarmee klanten beveiligingsupdates kunnen blijven ontvangen voor het einde van de ondersteuning SQL Server en Windows Server-VM's, nu gratis wanneer ze worden uitgevoerd op Azure Stack HCI. Zie Uitgebreide beveiligingsupdates (ESU) op Azure Stack HCI voor meer informatie.
Azure Policy gastconfiguratie	Arc-agent versie 1.13 of hoger	Een functie waarmee besturingssysteeminstellingen als code kunnen worden gecontroleerd of geconfigureerd voor zowel host- als gastcomputers. Meer informatie: Inzicht in de gastconfiguratiefunctie van Azure Policy
Azure Virtual Desktop	Alleen voor edities met meerdere sessies. Windows 10 Enterprise meerdere sessies of hoger.	Een service waarmee u Azure Virtual Desktop-sessiehosts kunt implementeren in uw Azure Stack HCI-infrastructuur. Zie het overzicht van Azure Virtual Desktop voor Azure Stack HCI voor meer informatie.

Uitleg

In deze sectie wordt optioneel gelezen en wordt uitgelegd hoe Azure Benefits op HCI 'onder de motorkap' werkt.

Azure Benefits is afhankelijk van een ingebouwde platform attestation-service op Azure Stack HCI en biedt de zekerheid dat VM's inderdaad worden uitgevoerd in Azure-omgevingen.

Deze service is gemodelleerd naar dezelfde IMDS Attestation-service die wordt uitgevoerd in Azure, om enkele van dezelfde workloads en voordelen beschikbaar te maken voor klanten in Azure. Azure Benefits retourneert een bijna identieke nettolading. Het belangrijkste verschil is dat het on-premises wordt uitgevoerd en daarom garandeert dat VM's worden uitgevoerd op Azure Stack HCI in plaats van Azure.

Als u Azure Benefits inschakelt, wordt de service gestart die wordt uitgevoerd op uw Azure Stack HCI-cluster:

1. Op elke server verkrijgt HciSvc een certificaat van Azure en slaat het veilig op in een enclave op de server.

   Notitie

   Certificaten worden vernieuwd telkens wanneer het Azure Stack HCI-cluster wordt gesynchroniseerd met Azure. Elke verlenging is 30 dagen geldig. Zolang u de gebruikelijke connectiviteitsvereisten van 30 dagen voor Azure Stack HCI handhaaft, is er geen actie van de gebruiker vereist.

2. HciSvc maakt een privé- en niet-routeerbaar REST-eindpunt beschikbaar, dat alleen toegankelijk is voor VM's op dezelfde server. Om dit eindpunt in te schakelen, wordt een interne vSwitch geconfigureerd op de Azure Stack HCI-host (met de naam AZSHCI_HOST-IMDS_DO_NOT_MODIFY). Vm's moeten vervolgens een NIC hebben die is geconfigureerd en gekoppeld aan dezelfde vSwitch (AZSHCI_GUEST-IMDS_DO_NOT_MODIFY).

   Notitie

   Als u deze switch en NIC wijzigt of verwijdert, werkt Azure Benefits niet goed. Als er fouten optreden, schakelt u Azure Benefits uit met behulp van Windows Admin Center of de Volgende PowerShell-instructies en probeert u het opnieuw.

3. Consumentenworkloads (bijvoorbeeld Windows Server Azure Edition-gasten) vragen attestation aan. HciSvc ondertekent vervolgens het antwoord met een Azure-certificaat.

   Notitie

   U moet de toegang handmatig inschakelen voor elke VM die Azure-voordelen nodig heeft.

Azure-voordelen inschakelen

Voordat u begint, hebt u de volgende vereisten nodig:

• Een Azure Stack HCI-cluster:

  • Updates installeren: versie 21H2, met ten minste de beveiligingsupdate van 14 december 2021 KB5008223 of hoger.
  • Azure Stack HCI registreren: alle servers moeten online zijn en bij Azure zijn geregistreerd.
  • Installeer Hyper-V en RSAT-Hyper-V-Tools.

• Als u Windows Admin Center gebruikt:

  • Windows Admin Center (versie 2103 of hoger) met de extensie Clusterbeheer (versie 2.41.0 of hoger).

U kunt Azure Benefits inschakelen op Azure Stack HCI met behulp van Windows Admin Center, PowerShell, Azure CLI of Azure Portal. In de volgende secties worden elke optie beschreven.

Notitie

Als u Azure Benefits wilt inschakelen op vm's van de eerste generatie, moet de VM eerst worden uitgeschakeld om ervoor te zorgen dat de NIC kan worden toegevoegd.

Azure-voordelen beheren

Windows Admin Center

1. Selecteer in Windows Admin Center Clusterbeheer in de bovenste vervolgkeuzelijst, navigeer naar het cluster dat u wilt activeren en selecteer vervolgens onder Instellingende optie Azure-voordelen.

2. Selecteer in het deelvenster Azure-voordelende optie Inschakelen. Standaard is het selectievakje voor alle bestaande VM's ingeschakeld. U kunt de selectie opheffen en later handmatig VM's toevoegen.

3. Selecteer opnieuw Inschakelen om de installatie te bevestigen. Het kan enkele minuten duren voordat de wijzigingen op de servers worden weergegeven.

4. Wanneer de installatie van Azure Benefits is voltooid, wordt de pagina bijgewerkt en wordt het Azure Benefits-dashboard weergegeven. Azure-voordelen voor de host controleren:

   1. Controleer of de status van het Azure Benefits-cluster wordt weergegeven als Aan.
   2. Controleer op het tabblad Cluster in het dashboard of Azure Benefits voor elke server wordt weergegeven als Actief in de tabel.

5. De toegang tot Azure Benefits voor VM's controleren: Controleer de status voor VM's waarop Azure Benefits is ingeschakeld. Het wordt aanbevolen dat op al uw bestaande VM's Azure Benefits is ingeschakeld. bijvoorbeeld 3 van de 3 VM's.

Azure PowerShell

1. Als u Azure Benefits wilt instellen, voert u de volgende opdracht uit vanuit een PowerShell-venster met verhoogde bevoegdheid op uw Azure Stack HCI-cluster:

   Enable-AzStackHCIAttestation
   

   Of, als u alle bestaande VM's wilt toevoegen tijdens de installatie, kunt u de volgende opdracht uitvoeren:

   Enable-AzStackHCIAttestation -AddVM
   

2. Wanneer de installatie van Azure Benefits is voltooid, kunt u de status van Azure Benefits bekijken. Controleer de clustereigenschap IMDS Attestation door de volgende opdracht uit te voeren:

   Get-AzureStackHCI
   

   Of voer de volgende opdracht uit om de status van Azure Benefits voor servers weer te geven:

   Get-AzureStackHCIAttestation [[-ComputerName] <string>]
   

3. Voer de volgende opdracht uit om de toegang tot Azure Benefits voor VM's te controleren:

   Get-AzStackHCIVMAttestation
   

Azure-portal

1. Ga op de resourcepagina van uw Azure Stack HCI-cluster naar het tabblad Configuratie .

2. Bekijk onder de functie Azure-voordelen inschakelen de status van de hostverklaring:

   

Azure-CLI

Azure CLI is beschikbaar voor installatie in Windows-, macOS- en Linux-omgevingen. Het kan ook worden uitgevoerd in Azure Cloud Shell. In dit document wordt beschreven hoe u Bash gebruikt in Azure Cloud Shell. Raadpleeg Quickstart voor Azure Cloud Shell voor meer informatie.

Start Azure Cloud Shell en gebruik Azure CLI om Azure Benefits te configureren door de volgende stappen uit te voeren:

1. Parameters instellen vanuit uw abonnement, resourcegroep en clusternaam

   subscription="00000000-0000-0000-0000-000000000000" # Replace with your subscription ID
   resourceGroup="hcicluster-rg" # Replace with your resource group name
   clusterName="HCICluster" # Replace with your cluster name
   
   az account set --subscription "${subscription}"
   

2. Voer de volgende opdracht uit om de status van Azure Benefits in een cluster weer te geven:

   az stack-hci cluster list \
   --resource-group "${resourceGroup}" \
   --query "[?name=='${clusterName}'].{Name:name, AzureBenefitsHostAttestation:reportedProperties.imdsAttestation}" \
   -o table
   

Toegang tot Azure Benefits voor uw VM's beheren - Windows Admin Center

Als u Azure Benefits voor VM's wilt inschakelen, selecteert u het tabblad VM's , selecteert u de VM('s) in de bovenste tabel VM's zonder Azure-voordelen en selecteert u vervolgens Azure-voordelen voor VM's inschakelen.

Toegang tot Azure Benefits voor uw VM's beheren - Azure PowerShell

• Als u voordelen voor geselecteerde VM's wilt inschakelen, voert u de volgende opdracht uit op uw Azure Stack HCI-cluster:

  Add-AzStackHCIVMAttestation [-VMName]
  

  Als u alle bestaande VM's wilt toevoegen, voert u de volgende opdracht uit:

  Add-AzStackHCIVMAttestation -AddAll
  

• Als u wilt controleren of de VM's toegang hebben tot Azure Benefits op de host, voert u desgewenst de volgende opdracht uit op de VM:

  Invoke-RestMethod -Headers @{"Metadata"="true"} -Method GET -Uri "http://169.254.169.253:80/metadata/attested/document?api-version=2018-10-01"
  

Problemen oplossen via Windows Admin Center

• Azure Benefits uitschakelen en opnieuw instellen op uw cluster:
  • Selecteer op het tabblad Cluster de optie Azure-voordelen uitschakelen.
• Toegang tot Azure Benefits voor VM's verwijderen:
  • Selecteer op het tabblad VM de VM('s) in de bovenste tabel VM's zonder Azure-voordelen en selecteer vervolgens Azure-voordelen inschakelen voor VM's.
• Op het tabblad Cluster worden een of meer servers weergegeven als Verlopen:
  • Als Azure-voordelen voor een of meer servers langer dan 30 dagen niet zijn gesynchroniseerd met Azure, wordt dit weergegeven als Verlopen of Inactief. Selecteer Synchroniseren met Azure om een handmatige synchronisatie te plannen.
• Op het tabblad VM worden voordelen van hostserver weergegeven als Onbekend of Inactief:
  • U kunt Azure Benefits voor VM's niet toevoegen of verwijderen op deze hostservers. Ga naar het tabblad Cluster om Azure Benefits voor hostservers met fouten op te lossen en probeer vm's opnieuw te beheren.

Problemen oplossen via PowerShell

• Voer de volgende opdracht uit om Azure Benefits in uw cluster uit te schakelen en opnieuw in te stellen:

  Disable-AzStackHCIAttestation -RemoveVM
  

• Toegang tot Azure Benefits verwijderen voor geselecteerde VM's:

  Remove-AzStackHCIVMAttestation -VMName <string>
  

  Of om de toegang voor alle bestaande VM's te verwijderen:

  Remove-AzStackHCIVMAttestation -RemoveAll
  

• Als Azure Benefits voor een of meer servers nog niet is gesynchroniseerd en vernieuwd met Azure, kan dit worden weergegeven als Verlopen of Inactief. Een handmatige synchronisatie plannen:

  Sync-AzureStackHCI
  

• Als een server nieuw is toegevoegd en nog niet is ingesteld met Azure Benefits, kan deze worden weergegeven als Inactief. Voer Setup opnieuw uit om de nieuwe server toe te voegen:

  Enable-AzStackHCIAttestation
  

Veelgestelde vragen

Deze veelgestelde vragen bieden antwoorden op enkele vragen over het gebruik van Azure-voordelen.

Welke exclusieve Azure-workloads kan ik inschakelen met Azure Benefits?

Bekijk hier de volledige lijst.

Kost het iets om Azure Benefits in te schakelen?

Nee, als u Azure-voordelen inschakelt, worden er geen extra kosten in rekening gebracht.

Kan ik Azure Benefits gebruiken in andere omgevingen dan Azure Stack HCI?

Nee, Azure Benefits is een functie die is ingebouwd in het Azure Stack HCI-besturingssysteem en kan alleen worden gebruikt in Azure Stack HCI.

Ik heb Zojuist Azure Benefits ingesteld op mijn cluster. Hoe kan ik ervoor zorgen dat Azure Benefits actief blijft?

• In de meeste gevallen is er geen gebruikersactie vereist. Azure Stack HCI vernieuwt automatisch Azure Benefits wanneer deze wordt gesynchroniseerd met Azure.
• Als de verbinding met het cluster echter langer dan 30 dagen wordt verbroken en Azure Benefits wordt weergegeven als Verlopen, kunt u handmatig synchroniseren met behulp van PowerShell en Windows Admin Center. Zie Azure Stack HCI synchroniseren voor meer informatie.

Wat gebeurt er wanneer ik nieuwe VM's implementeer of vm's verwijder?

• Wanneer u nieuwe VM's implementeert waarvoor Azure Benefits is vereist, kunt u handmatig nieuwe VM's toevoegen voor toegang tot Azure Benefits met behulp van Windows Admin Center of PowerShell, met behulp van de voorgaande instructies.
• U kunt vm's nog steeds zoals gewoonlijk verwijderen en migreren. De NIC AZSHCI_GUEST-IMDS_DO_NOT_MODIFY bestaat nog steeds op de VM na de migratie. Als u de NIC vóór de migratie wilt opschonen, kunt u VM's verwijderen uit Azure Benefits met behulp van Windows Admin Center of PowerShell met behulp van de voorgaande instructies, of u kunt eerst migreren en daarna handmatig NIC's verwijderen.

Wat gebeurt er wanneer ik servers toevoeg of verwijder?

• Wanneer u een server toevoegt, kunt u naar de pagina Azure-voordelen in Windows Admin Center navigeren. Er wordt een banner weergegeven met een koppeling Inactieve server inschakelen.
• U kunt ook uitvoeren Enable-AzStackHCIAttestation [[-ComputerName] <String>] in PowerShell.
• U kunt nog steeds servers verwijderen of verwijderen uit het cluster zoals u gewend bent. De vSwitch-AZSHCI_HOST-IMDS_DO_NOT_MODIFY bestaat nog steeds op de server na verwijdering uit het cluster. U kunt dit laten staan als u van plan bent om de server later weer toe te voegen aan het cluster, of u kunt de server handmatig verwijderen.

Volgende stappen

• Uitgebreide beveiligingsupdates (ESU) in Azure Stack HCI
• Overzicht van Azure Stack HCI
• Veelgestelde vragen over Azure Stack HCI