Преимущества Azure в Azure Stack HCI (22H2 и более ранние версии)

Область применения: Azure Stack HCI версий 22H2 и 21H2

Примечание

Эта статья предназначена только для Azure Stack HCI версии 22H2 и более ранних версий. Сведения о версии 23H2 и более поздних см. в документации по проверке azure для виртуальных машин.

Microsoft Azure предлагает ряд различных рабочих нагрузок и возможностей, предназначенных для выполнения только в Azure. Azure Stack HCI расширяет многие из преимуществ, которые вы получаете от Azure, при этом работая в одинаковых знакомых и высокопроизводительных локальных или пограничных средах.

Преимущества Azure позволяют работать за пределами облака поддерживаемые эксклюзивные рабочие нагрузки Azure. Вы можете включить Преимущества Azure в Azure Stack HCI без дополнительной платы. Если у вас есть рабочие нагрузки Windows Server, рекомендуется включить ее.

Укажите несколько минут, чтобы watch вводное видео о преимуществах Azure:

Преимущества Azure, доступные в Azure Stack HCI

Включение преимуществ Azure позволяет использовать следующие эксклюзивные рабочие нагрузки Azure в Azure Stack HCI:

Рабочая нагрузка	Поддерживаемые версии	Что это
Windows Server Datacenter: Выпуск Azure	Выпуск 2022 или более поздняя	Гостевая операционная система только для Azure, которая включает в себя все последние инновации Windows Server и другие эксклюзивные функции. Дополнительные сведения: Автоматическое управление для Windows Server
Расширенное обновление безопасности (ESU)	Обновления для системы безопасности от 12 октября 2021 г. или более поздние версии	Программа, которая позволяет клиентам по-прежнему получать обновления для системы безопасности для виртуальных машин с окончанием поддержки SQL Server и Windows Server, которые теперь бесплатны при работе в Azure Stack HCI. Дополнительные сведения см. в статье Расширенные обновления безопасности (ESU) в Azure Stack HCI.
Настройка гостевой политики Azure	Агент Arc версии 1.13 или более поздней	Функция, которая может выполнять аудит или настройку параметров ОС в качестве кода как для узла, так и для гостевых компьютеров. Дополнительные сведения см. в разделе Общие сведения о функции гостевой конфигурации Политика Azure
Виртуальный рабочий стол Azure	Только для многосеансовых выпусков. Windows 10 Корпоративная многосеансового режима или более поздней версии.	Служба, которая позволяет развертывать узлы сеансов Виртуального рабочего стола Azure в инфраструктуре Azure Stack HCI. Дополнительные сведения см. в статье Обзор Виртуального рабочего стола Azure для Azure Stack HCI.

Принцип работы

В этом разделе приводятся дополнительные сведения о том, как преимущества Azure в HCI работают "под капотом".

Преимущества Azure зависят от встроенной службы аттестации платформы в Azure Stack HCI и помогают гарантировать, что виртуальные машины действительно работают в средах Azure.

Эта служба смоделирована по образцу той же службы аттестации IMDS , которая выполняется в Azure, чтобы обеспечить некоторые из рабочих нагрузок и преимуществ, доступных клиентам в Azure. Преимущества Azure возвращают практически идентичные полезные данные. Разница main заключается в том, что она выполняется локально и, следовательно, гарантирует, что виртуальные машины работают в Azure Stack HCI, а не в Azure.

Включение преимуществ Azure запускает службу, запущенную в кластере Azure Stack HCI:

1. На каждом сервере HciSvc получает сертификат из Azure и безопасно сохраняет его в анклаве на сервере.

   Примечание

   Сертификаты обновляются каждый раз, когда кластер Azure Stack HCI синхронизируется с Azure, и каждое продление действует в течение 30 дней. При условии соблюдения стандартных требований к подключению в течение 30 дней для Azure Stack HCI никаких действий от пользователя не требуется.

2. HciSvc предоставляет частную и не маршрутизируемую конечную точку REST, доступную только для виртуальных машин на одном сервере. Чтобы включить эту конечную точку, на узле Azure Stack HCI ( с именем AZSHCI_HOST-IMDS_DO_NOT_MODIFY настраивается внутренний виртуальный коммутатор). Виртуальные машины должны иметь настроенный сетевой адаптер и подключиться к тому же виртуальному коммутатору (AZSHCI_GUEST IMDS_DO_NOT_MODIFY).

   Примечание

   Изменение или удаление этого параметра и сетевого адаптера предотвращает правильную работу преимуществ Azure. При возникновении ошибок отключите Преимущества Azure с помощью Windows Admin Center или приведенных ниже инструкций PowerShell, а затем повторите попытку.

3. Рабочие нагрузки потребителей (например, windows Server Azure Edition guest) запрашивают аттестацию. Затем HciSvc подписывает ответ с помощью сертификата Azure.

   Примечание

   Необходимо вручную включить доступ для каждой виртуальной машины, для которых требуются преимущества Azure.

Включение преимуществ Azure

Перед началом работы проверьте следующие необходимые компоненты:

• Кластер Azure Stack HCI:

  • Установите обновления: версия 21H2 с обновлением для системы безопасности от 14 декабря 2021 г. KB5008223 или более поздней версии.
  • Регистрация Azure Stack HCI. Все серверы должны быть подключены и зарегистрированы в Azure.
  • Установите Hyper-V и RSAT-Hyper-V-Tools.

• Если вы используете Windows Admin Center:

  • Windows Admin Center (версия 2103 или более поздняя) с расширением Диспетчера кластеров (версия 2.41.0 или более поздняя).

Вы можете включить преимущества Azure в Azure Stack HCI с помощью Windows Admin Center, PowerShell, Azure CLI или портал Azure. В следующих разделах описаны все варианты.

Примечание

Чтобы успешно включить преимущества Azure на виртуальных машинах поколения 1, сначала необходимо выключить виртуальную машину, чтобы включить добавление сетевой карты.

Управление преимуществами Azure

Windows Admin Center

1. В Windows Admin Center выберите Диспетчер кластеров в верхнем раскрывающемся меню, перейдите к кластеру, который требуется активировать, а затем в разделе Параметры выберите Преимущества Azure.

2. В области Преимущества Azure выберите Включить. По умолчанию установлен флажок для включения для всех существующих виртуальных машин. Вы можете отменить выбор и добавить виртуальные машины вручную позже.

3. Выберите Включить еще раз, чтобы подтвердить установку. Для отражения изменений на серверах может потребоваться несколько минут.

4. После успешной настройки преимуществ Azure страница обновится, чтобы отобразить панель мониторинга "Преимущества Azure". Чтобы проверка Преимущества Azure для узла, выполните следующие действия.

   1. Убедитесь, что состояние кластера "Преимущества Azure " отображается как Включено.
   2. На вкладке Кластер на панели мониторинга проверка, что в таблице "Преимущества Azure" для каждого сервера отображается значение Активно.

5. Чтобы проверка доступ к преимуществам Azure для виртуальных машин: проверьте состояние виртуальных машин с включенным параметром "Преимущества Azure". Рекомендуется, чтобы на всех существующих виртуальных машинах были включено преимущество Azure. например, 3 из 3 виртуальных машин.

Azure PowerShell

1. Чтобы настроить преимущества Azure, выполните следующую команду в окне PowerShell с повышенными привилегиями в кластере Azure Stack HCI:

   Enable-AzStackHCIAttestation
   

   Или, если вы хотите добавить все существующие виртуальные машины в программе установки, можно выполнить следующую команду:

   Enable-AzStackHCIAttestation -AddVM
   

2. После успешной настройки преимуществ Azure можно просмотреть состояние Преимущества Azure. Проверьте свойство кластера IMDS Attestation , выполнив следующую команду:

   Get-AzureStackHCI
   

   Или, чтобы просмотреть состояние преимуществ Azure для серверов, выполните следующую команду:

   Get-AzureStackHCIAttestation [[-ComputerName] <string>]
   

3. Чтобы проверка доступ к преимуществам Azure для виртуальных машин, выполните следующую команду:

   Get-AzStackHCIVMAttestation
   

Портал Azure

1. На странице ресурса кластера Azure Stack HCI перейдите на вкладку Конфигурация .

2. В разделе Включить преимущества Azure просмотрите состояние аттестации узла:

   

Azure CLI

Azure CLI доступен для установки в средах Windows, macOS и Linux. Его также можно запустить в Azure Cloud Shell. В этом документе описано, как использовать Bash в Azure Cloud Shell. Дополнительные сведения см. в кратком руководстве по azure Cloud Shell.

Запустите Azure Cloud Shell и используйте Azure CLI для настройки преимуществ Azure, выполнив следующие действия.

1. Настройка параметров из подписки, группы ресурсов и имени кластера

   subscription="00000000-0000-0000-0000-000000000000" # Replace with your subscription ID
   resourceGroup="hcicluster-rg" # Replace with your resource group name
   clusterName="HCICluster" # Replace with your cluster name
   
   az account set --subscription "${subscription}"
   

2. Чтобы просмотреть состояние преимуществ Azure в кластере, выполните следующую команду:

   az stack-hci cluster list \
   --resource-group "${resourceGroup}" \
   --query "[?name=='${clusterName}'].{Name:name, AzureBenefitsHostAttestation:reportedProperties.imdsAttestation}" \
   -o table
   

Управление доступом к преимуществам Azure для виртуальных машин — Windows Admin Center

Чтобы включить преимущества Azure для виртуальных машин, перейдите на вкладку Виртуальные машины , выберите виртуальные машины в верхней таблице виртуальных машин без преимуществ Azure, а затем выберите Включить преимущества Azure для виртуальных машин.

Управление доступом к преимуществам Azure для виртуальных машин — Azure PowerShell

• Чтобы включить преимущества для выбранных виртуальных машин, выполните следующую команду в кластере Azure Stack HCI:

  Add-AzStackHCIVMAttestation [-VMName]
  

  Или, чтобы добавить все существующие виртуальные машины, выполните следующую команду:

  Add-AzStackHCIVMAttestation -AddAll
  

• При необходимости, чтобы проверка, что виртуальные машины могут получить доступ к преимуществам Azure на узле, выполните на виртуальной машине следующую команду:

  Invoke-RestMethod -Headers @{"Metadata"="true"} -Method GET -Uri "http://169.254.169.253:80/metadata/attested/document?api-version=2018-10-01"
  

Устранение неполадок с помощью Windows Admin Center

• Чтобы отключить и сбросить преимущества Azure в кластере, выполните следующие действия.
  • На вкладке Кластер выберите Отключить преимущества Azure.
• Чтобы удалить доступ к преимуществам Azure для виртуальных машин, выполните следующие действия.
  • На вкладке Виртуальная машина выберите виртуальные машины в верхней таблице виртуальные машины без преимуществ Azure, а затем выберите Включить преимущества Azure для виртуальных машин.
• На вкладке Кластер один или несколько серверов отображаются как Просроченные:
  • Если преимущества Azure для одного или нескольких серверов не синхронизированы с Azure более 30 дней, отображается значение Срок действия истек или Неактивен. Выберите Синхронизировать с Azure , чтобы запланировать синхронизацию вручную.
• На вкладке Виртуальная машина для преимуществ сервера узла отображается значение Неизвестно или Неактивно:
  • Вы не сможете добавлять или удалять преимущества Azure для виртуальных машин на этих серверах узлов. Перейдите на вкладку Кластер , чтобы исправить преимущества Azure для серверов узлов с ошибками, а затем повторите попытку управления виртуальными машинами.

Устранение неполадок с помощью PowerShell

• Чтобы отключить и сбросить преимущества Azure в кластере, выполните следующую команду:

  Disable-AzStackHCIAttestation -RemoveVM
  

• Чтобы удалить доступ к преимуществам Azure для выбранных виртуальных машин, выполните следующие действия.

  Remove-AzStackHCIVMAttestation -VMName <string>
  

  Или, чтобы удалить доступ ко всем существующим виртуальным машинам, выполните приведенные далее действия.

  Remove-AzStackHCIVMAttestation -RemoveAll
  

• Если преимущества Azure для одного или нескольких серверов еще не синхронизированы и не продлены с Azure, они могут отображаться как Просроченные или Неактивные. Планирование синхронизации вручную:

  Sync-AzureStackHCI
  

• Если сервер добавлен и еще не настроен с использованием преимуществ Azure, он может отображаться как неактивный. Чтобы добавить новый сервер, запустите программу установки еще раз:

  Enable-AzStackHCIAttestation
  

Вопросы и ответы

В этой статье приведены ответы на некоторые вопросы об использовании преимуществ Azure.

Какие эксклюзивные рабочие нагрузки Azure можно включить с помощью преимуществ Azure?

Полный список см. здесь.

Стоит ли включить преимущества Azure?

Нет, включение преимуществ Azure не влечет за собой дополнительную плату.

Можно ли использовать преимущества Azure в средах, отличных от Azure Stack HCI?

Нет, Преимущества Azure — это функция, встроенная в ОС Azure Stack HCI, которую можно использовать только в Azure Stack HCI.

Я только что настроил преимущества Azure в кластере. Разделы справки убедиться, что преимущества Azure остаются активными?

• В большинстве случаев действия пользователя не требуются. Azure Stack HCI автоматически продлевает преимущества Azure при синхронизации с Azure.
• Однако если кластер отключается более 30 дней и преимущества Azure отображаются как Просроченные, можно вручную синхронизировать с помощью PowerShell и Windows Admin Center. Дополнительные сведения см. в статье Синхронизация Azure Stack HCI.

Что происходит при развертывании новых или удалении виртуальных машин?

• При развертывании новых виртуальных машин, которым требуются преимущества Azure, вы можете вручную добавить новые виртуальные машины для доступа к преимуществам Azure с помощью Windows Admin Center или PowerShell, используя приведенные выше инструкции.
• Вы по-прежнему можете удалять и переносить виртуальные машины обычным образом. IMDS_DO_NOT_MODIFY сетевой карты AZSHCI_GUEST по-прежнему будет существовать на виртуальной машине после миграции. Чтобы очистить сетевой адаптер перед миграцией, можно удалить виртуальные машины из раздела Преимущества Azure с помощью Windows Admin Center или PowerShell, выполнив приведенные выше инструкции, или выполнить миграцию, а затем вручную удалить сетевые адаптеры.

Что происходит при добавлении или удалении серверов?

• При добавлении сервера можно перейти на страницу Преимущества Azure в Windows Admin Center, и появится баннер со ссылкой Включить неактивный сервер.
• Или можно запустить Enable-AzStackHCIAttestation [[-ComputerName] <String>] в PowerShell.
• Вы по-прежнему можете удалить серверы или удалить их из кластера, как обычно. Виртуальный коммутатор AZSHCI_HOST-IMDS_DO_NOT_MODIFY будет по-прежнему существовать на сервере после удаления из кластера. Его можно оставить, если вы планируете позже добавить сервер обратно в кластер, или удалить его вручную.

Дальнейшие действия

• Расширенные обновления для системы безопасности (ESU) в Azure Stack HCI
• Общие сведения об Azure Stack HCI
• Вопросы и ответы по Azure Stack HCI