在 Azure Stack HCI 版本 23H2 上为 Azure Arc VM 部署受信任启动
适用于:Azure Stack HCI 版本 23H2
本文介绍如何为 Azure Stack HCI 版本 23H2) (VM 部署 Azure Arc 虚拟机的受信任启动。
先决条件
确保有权访问已部署并在 Azure 中注册的 Azure Stack HCI 版本 23H2 群集。 有关详细信息,请参阅使用Azure 门户进行部署。
创建受信任的启动 Arc VM
可以使用 Azure 门户 或使用 Azure Command-Line 接口 (CLI) 创建受信任的启动 VM。 使用以下选项卡选择方法。
若要在 Azure Stack HCI 上创建受信任的启动 Arc VM,请遵循使用 Azure 门户在 Azure Stack HCI 上创建 Arc 虚拟机中的步骤,并执行以下更改:
示例
此示例演示运行Windows 11来宾且启用了 BitLocker 加密的受信任启动 Arc VM。 下面是练习方案的步骤:
创建运行受支持的Windows 11来宾操作系统的受信任启动 Arc VM。
为 Win 11 来宾上的 OS 卷启用 BitLocker 加密。
登录到Windows 11来宾并为 OS 卷) 启用 BitLocker 加密 (:在任务栏上的搜索框中,键入“管理 BitLocker”,然后从结果列表中选择它。 选择“ 打开 BitLocker ”,然后按照说明 (C:) 加密 OS 卷。 BitLocker 将使用 vTPM 作为 OS 卷的密钥保护程序。
将 VM 迁移到群集中的另一个节点。 运行以下 PowerShell 命令:
Move-ClusterVirtualMachineRole -Name $vmName -Node <destination node name> -MigrationType Shutdown
确认 VM 的所有者节点是指定的目标节点:
Get-ClusterGroup $vmName
VM 迁移完成后,验证 VM 是否可用以及 BitLocker 是否已启用。
验证是否可以登录到 VM 中的Windows 11来宾,以及 OS 卷的 BitLocker 加密是否保持启用状态。 如果可以执行此操作,则会确认在 VM 迁移期间保留了 vTPM 状态。
如果在 VM 迁移期间未保留 vTPM 状态,则 VM 启动会导致在来宾启动期间恢复 BitLocker。 也就是说,当你尝试登录到Windows 11来宾时,系统会提示你输入 BitLocker 恢复密码。 这是因为 (目标节点上已迁移 VM 的 vTPM) 中存储的启动度量值与原始 VM 不同。
强制 VM 故障转移到群集中的另一个节点。
使用以下命令确认 VM 的所有者节点:
Get-ClusterGroup $vmName
使用故障转移群集管理器停止所有者节点上的群集服务,如下所示:选择故障转移群集管理器中显示的所有者节点。 在 “操作” 右窗格中,选择“ 更多操作” ,然后选择“ 停止群集服务”。
停止所有者节点上的群集服务将导致 VM 自动迁移到群集中的另一个可用节点。 之后重启群集服务。
故障转移完成后,验证 VM 是否可用,以及故障转移后是否已启用 BitLocker。
确认 VM 的所有者节点是指定的目标节点:
Get-ClusterGroup $vmName
后续步骤
反馈
https://aka.ms/ContentUserFeedback。
即将发布:在整个 2024 年,我们将逐步淘汰作为内容反馈机制的“GitHub 问题”,并将其取代为新的反馈系统。 有关详细信息,请参阅:提交和查看相关反馈