Benefícios do Azure no Azure Stack HCI (22H2 e anterior)

Artigo
11/28/2023

Aplica-se a: Azure Stack HCI, versões 22H2 e 21H2

Nota

Este artigo destina-se apenas à versão 22H2 e anterior do Azure Stack HCI. Para a versão 23H2 e posterior, veja a documentação para verificação do Azure para VMs.

O Microsoft Azure oferece uma gama de cargas de trabalho e capacidades diferenciadas concebidas para serem executadas apenas no Azure. O Azure Stack HCI expande muitas das mesmas vantagens que obtém do Azure, enquanto executa nos mesmos ambientes no local ou edge familiares e de elevado desempenho.

Os Benefícios do Azure permitem que cargas de trabalho exclusivas do Azure suportadas funcionem fora da cloud. Pode ativar os Benefícios do Azure no Azure Stack HCI sem custos adicionais. Se tiver cargas de trabalho do Windows Server, recomendamos que a ative.

Dedique alguns minutos a watch o vídeo introdutório sobre os Benefícios do Azure:

Benefícios do Azure disponíveis no Azure Stack HCI

Ativar os Benefícios do Azure permite-lhe utilizar estas cargas de trabalho exclusivas do Azure no Azure Stack HCI:

Carga de trabalho	Versões suportadas	O que é
Windows Server Datacenter: Edição do Azure	Edição de 2022 ou posterior	Um sistema operativo convidado apenas do Azure que inclui todas as inovações mais recentes do Windows Server e outras funcionalidades exclusivas. Saiba mais: Automanage para Windows Server
Atualização de Segurança Alargada (ESUs)	Atualizações de segurança de 12 de outubro de 2021 ou posteriores	Um programa que permite aos clientes continuar a obter atualizações de segurança para SQL Server de Fim de Suporte e VMs do Windows Server, agora gratuito ao executar no Azure Stack HCI. Para obter mais informações, veja Extensão das atualizações de segurança (ESU) no Azure Stack HCI.
Azure Policy configuração de convidado	Arc agent version 1.13 or later (Versão 1.13 ou posterior do agente arc)	Uma funcionalidade que pode auditar ou configurar as definições do SO como código para computadores anfitriões e convidados. Saiba mais: Compreender a funcionalidade de configuração de convidados do Azure Policy
Azure Virtual Desktop	Apenas para edições de várias sessões. Windows 10 Enterprise várias sessões ou posterior.	Um serviço que lhe permite implementar anfitriões de sessões do Azure Virtual Desktop na sua infraestrutura do Azure Stack HCI. Para obter mais informações, veja Azure Virtual Desktop for Azure Stack HCI overview (Descrição geral do Azure Virtual Desktop para o Azure Stack HCI).

Como funciona

Esta secção é uma leitura opcional e explica mais sobre como os Benefícios do Azure no HCI funcionam "nos bastidores".

Os Benefícios do Azure baseiam-se num serviço de atestado de plataforma incorporado no Azure Stack HCI e ajudam a garantir que as VMs estão realmente em execução em ambientes do Azure.

Este serviço é modelado após o mesmo serviço de Atestado IMDS que é executado no Azure, de modo a permitir algumas das mesmas cargas de trabalho e benefícios disponíveis para os clientes no Azure. Os Benefícios do Azure devolvem um payload quase idêntico. A principal diferença é que é executada no local e, por conseguinte, garante que as VMs estão em execução no Azure Stack HCI em vez do Azure.

Ativar os Benefícios do Azure inicia o serviço em execução no cluster do Azure Stack HCI:

Em todos os servidores, o HciSvc obtém um certificado do Azure e armazena-o em segurança num enclave no servidor.

Nota

Os certificados são renovados sempre que o cluster do Azure Stack HCI é sincronizado com o Azure e cada renovação é válida durante 30 dias. Desde que mantenha os requisitos habituais de conectividade de 30 dias para o Azure Stack HCI, não é necessária nenhuma ação do utilizador.
O HciSvc expõe um ponto final REST privado e não encaminhável, acessível apenas a VMs no mesmo servidor. Para ativar este ponto final, é configurado um vSwitch interno no anfitrião do Azure Stack HCI (denominado AZSHCI_HOST-IMDS_DO_NOT_MODIFY). Em seguida, as VMs têm de ter uma NIC configurada e anexada ao mesmo vSwitch (AZSHCI_GUEST-IMDS_DO_NOT_MODIFY).

Nota

Modificar ou eliminar este comutador e NIC impede que os Benefícios do Azure funcionem corretamente. Se ocorrerem erros, desative os Benefícios do Azure com Windows Admin Center ou as instruções do PowerShell que se seguem e, em seguida, tente novamente.
As cargas de trabalho do consumidor (por exemplo, convidados do Windows Server Azure Edition) pedem atestado. Em seguida, o HciSvc assina a resposta com um certificado do Azure.

Nota

Tem de ativar manualmente o acesso para cada VM que necessite dos Benefícios do Azure.

Ativar os Benefícios do Azure

Antes de começar, precisará dos seguintes pré-requisitos:

Um cluster do Azure Stack HCI:
- Atualizações de instalação: versão 21H2, com, pelo menos, a atualização de segurança de 14 de dezembro de 2021 KB5008223 ou posterior.
- Registar o Azure Stack HCI: todos os servidores têm de estar online e registados no Azure.
- Instale o Hyper-V e o RSAT-Hyper-V-Tools.
Se estiver a utilizar Windows Admin Center:
- Windows Admin Center (versão 2103 ou posterior) com a extensão do Gestor de Clusters (versão 2.41.0 ou posterior).

Pode ativar os Benefícios do Azure no Azure Stack HCI com Windows Admin Center, PowerShell, CLI do Azure ou portal do Azure. As secções seguintes descrevem cada opção.

Nota

Para ativar com êxito os Benefícios do Azure em VMs de Geração 1, a VM tem primeiro de ser desligada para permitir que o NIC seja adicionado.

Gerir Benefícios do Azure

No Windows Admin Center, selecione Gestor de Clusters no menu pendente superior, navegue para o cluster que pretende ativar e, em seguida, em Definições, selecione Benefícios do Azure.
No painel Benefícios do Azure , selecione Ativar. Por predefinição, a caixa de verificação a ativar para todas as VMs existentes está selecionada. Pode desselecioná-la e adicionar manualmente VMs mais tarde.
Selecione Ativar novamente para confirmar a configuração. Os servidores podem demorar alguns minutos a refletir as alterações.
Quando a configuração dos Benefícios do Azure for concluída com êxito, a página é atualizada para mostrar o dashboard benefícios do Azure. Para verificar os Benefícios do Azure para o anfitrião:
1. Verifique se o estado do cluster dos Benefícios do Azure é apresentado como Ativado.
2. No separador Cluster no dashboard, verifique se os Benefícios do Azure para cada servidor são apresentados como Ativos na tabela.
Para verificar o acesso aos Benefícios do Azure para VMs: verifique o estado das VMs com os Benefícios do Azure ativados. Recomenda-se que todas as VMs existentes tenham os Benefícios do Azure ativados; por exemplo, 3 em 3 VMs.

Captura de ecrã a mostrar os Benefícios do Azure no Windows Admin Center.

Para configurar os Benefícios do Azure, execute o seguinte comando a partir de uma janela elevada do PowerShell no cluster do Azure Stack HCI:
```
Enable-AzStackHCIAttestation
```
Em alternativa, se quiser adicionar todas as VMs existentes na configuração, pode executar o seguinte comando:
```
Enable-AzStackHCIAttestation -AddVM
```
Quando a configuração dos Benefícios do Azure for bem-sucedida, pode ver o estado dos Benefícios do Azure. Verifique a propriedade do cluster IMDS Attestation ao executar o seguinte comando:
```
Get-AzureStackHCI
```
Em alternativa, para ver o estado dos Benefícios do Azure para servidores, execute o seguinte comando:
```
Get-AzureStackHCIAttestation [[-ComputerName] <string>]
```
Para verificar o acesso aos Benefícios do Azure para VMs, execute o seguinte comando:
```
Get-AzStackHCIVMAttestation
```

A CLI do Azure está disponível para instalação em ambientes Windows, macOS e Linux. Também pode ser executado no Azure Cloud Shell. Este documento detalha como utilizar o Bash no Azure Cloud Shell. Para obter mais informações, veja Início Rápido do Azure Cloud Shell.

Inicie o Azure Cloud Shell e utilize a CLI do Azure para configurar os Benefícios do Azure ao seguir estes passos:

Configurar parâmetros a partir da sua subscrição, grupo de recursos e nome do cluster

subscription="00000000-0000-0000-0000-000000000000" # Replace with your subscription ID
resourceGroup="hcicluster-rg" # Replace with your resource group name
clusterName="HCICluster" # Replace with your cluster name

az account set --subscription "${subscription}"

Para ver o estado dos Benefícios do Azure num cluster, execute o seguinte comando:

az stack-hci cluster list \
--resource-group "${resourceGroup}" \
--query "[?name=='${clusterName}'].{Name:name, AzureBenefitsHostAttestation:reportedProperties.imdsAttestation}" \
-o table

Gerir o acesso aos Benefícios do Azure para as suas VMs - Windows Admin Center

Para ativar os Benefícios do Azure para VMs, selecione o separador VMs e, em seguida, selecione as VMs nas VMs de tabela superior sem Benefícios do Azure e, em seguida, selecione Ativar Benefícios do Azure para VMs.

Captura de ecrã a mostrar os Benefícios do Azure para VMs.

Gerir o acesso aos Benefícios do Azure para as suas VMs - Azure PowerShell

Para ativar os benefícios das VMs selecionadas, execute o seguinte comando no cluster do Azure Stack HCI:
```
Add-AzStackHCIVMAttestation [-VMName]
```
Em alternativa, para adicionar todas as VMs existentes, execute o seguinte comando:
```
Add-AzStackHCIVMAttestation -AddAll
```

Opcionalmente, para verificar se as VMs podem aceder aos Benefícios do Azure no anfitrião, execute o seguinte comando na VM:

Invoke-RestMethod -Headers @{"Metadata"="true"} -Method GET -Uri "http://169.254.169.253:80/metadata/attested/document?api-version=2018-10-01"

Resolver problemas através de Windows Admin Center

Para desativar e repor os Benefícios do Azure no cluster:
- No separador Cluster , selecione Desativar Benefícios do Azure.
Para remover o acesso aos Benefícios do Azure para VMs:
- No separador VM , selecione as VMs na tabela superior VMs sem Benefícios do Azure e, em seguida, selecione Ativar Benefícios do Azure para VMs.
No separador Cluster , um ou mais servidores aparecem como Expirados:
- Se os Benefícios do Azure para um ou mais servidores não estiverem sincronizados com o Azure há mais de 30 dias, será apresentado como Expirado ou Inativo. Selecione Sincronizar com o Azure para agendar uma sincronização manual.
No separador VM , os benefícios do servidor anfitrião aparecem como Desconhecido ou Inativo:
- Não poderá adicionar ou remover benefícios do Azure para VMs nestes servidores anfitriões. Aceda ao separador Cluster para corrigir os Benefícios do Azure para servidores anfitriões com erros e, em seguida, tente gerir as VMs novamente.

Resolução de problemas através do PowerShell

Para desativar e repor os Benefícios do Azure no cluster, execute o seguinte comando:
```
Disable-AzStackHCIAttestation -RemoveVM
```
Para remover o acesso aos Benefícios do Azure para VMs selecionadas:
```
Remove-AzStackHCIVMAttestation -VMName <string>
```
Em alternativa, para remover o acesso de todas as VMs existentes:
```
Remove-AzStackHCIVMAttestation -RemoveAll
```
Se os Benefícios do Azure para um ou mais servidores ainda não estiverem sincronizados e renovados com o Azure, poderão aparecer como Expirados ou Inativos. Agendar uma sincronização manual:
```
Sync-AzureStackHCI
```
Se um servidor for adicionado recentemente e ainda não tiver sido configurado com os Benefícios do Azure, poderá aparecer como Inativo. Para adicionar o novo servidor, execute novamente a configuração:
```
Enable-AzStackHCIAttestation
```

FAQ

Estas FAQ fornecem respostas a algumas perguntas sobre a utilização dos Benefícios do Azure.

Que cargas de trabalho exclusivas do Azure posso ativar com os Benefícios do Azure?

Veja a lista completa aqui.

Custa alguma coisa ativar os Benefícios do Azure?

Não, ativar os Benefícios do Azure não implica taxas adicionais.

Posso utilizar os Benefícios do Azure em ambientes que não o Azure Stack HCI?

Não, o Azure Benefits é uma funcionalidade incorporada no SO HCI do Azure Stack e só pode ser utilizada no Azure Stack HCI.

Acabei de configurar os Benefícios do Azure no meu cluster. Como devo proceder para garantir que os Benefícios do Azure permanecem ativos?

Na maioria dos casos, não é necessária nenhuma ação de utilizador. O Azure Stack HCI renova automaticamente os Benefícios do Azure quando sincroniza com o Azure.
No entanto, se o cluster se desligar durante mais de 30 dias e os Benefícios do Azure forem apresentados como Expirados, pode sincronizar manualmente com o PowerShell e Windows Admin Center. Para obter mais informações, veja Sincronizar o Azure Stack HCI.

O que acontece quando implemento novas VMs ou elimino VMs?

Quando implementa novas VMs que necessitam de Benefícios do Azure, pode adicionar manualmente novas VMs para aceder aos Benefícios do Azure com Windows Admin Center ou o PowerShell, com as instruções anteriores.
Ainda pode eliminar e migrar VMs como habitualmente. O nic AZSHCI_GUEST-IMDS_DO_NOT_MODIFY continuará a existir na VM após a migração. Para limpar o NIC antes da migração, pode remover as VMs dos Benefícios do Azure com Windows Admin Center ou o PowerShell com as instruções anteriores ou pode migrar primeiro e eliminar manualmente NICs posteriormente.

O que acontece quando adiciono ou remove servidores?

Quando adiciona um servidor, pode navegar para a página Benefícios do Azure no Windows Admin Center e será apresentada uma faixa com uma ligação para Ativar servidor inativo.
Em alternativa, pode executar Enable-AzStackHCIAttestation [[-ComputerName] <String>] no PowerShell.
Ainda pode eliminar servidores ou removê-los do cluster como habitualmente. O vSwitch AZSHCI_HOST-IMDS_DO_NOT_MODIFY continuará a existir no servidor após a remoção do cluster. Pode deixá-lo se estiver a planear adicionar o servidor novamente ao cluster mais tarde ou pode removê-lo manualmente.

Share via