在 Azure Stack HCI 版本 23H2 上为 Azure Arc VM 部署受信任启动

项目
03/05/2024

适用于：Azure Stack HCI 版本 23H2

本文介绍如何为 Azure Stack HCI 版本 23H2) (VM 部署 Azure Arc 虚拟机的受信任启动。

先决条件

确保有权访问已部署并在 Azure 中注册的 Azure Stack HCI 版本 23H2 群集。有关详细信息，请参阅使用Azure 门户进行部署。

创建受信任的启动 Arc VM

可以使用 Azure 门户或使用 Azure Command-Line 接口 (CLI) 创建受信任的启动 VM。使用以下选项卡选择方法。

Azure 门户
Azure CLI

若要在 Azure Stack HCI 上创建受信任的启动 Arc VM，请遵循使用 Azure 门户在 Azure Stack HCI 上创建 Arc 虚拟机中的步骤，并执行以下更改：

创建 VM 时，为安全类型选择“ 受信任的启动虚拟机 ”。
从支持的映像列表中选择 VM 来宾 OS 映像：
创建 VM 后，转到 VM 属性 页，并验证显示的安全类型是否为 “受信任的启动”。

若要在 Azure Stack HCI 上创建受信任的启动 Arc VM，请按照使用 Azure CLI 在 Azure Stack HCI 上创建 Arc 虚拟机中的步骤执行以下更改：

使用受信任的从 Azure 市场启动支持的 VM 来宾 OS 映像创建 VM 映像。有关详细信息，请参阅使用 Azure 市场创建 Azure Stack HCI VM 映像。

使用 CLI 创建 VM，如下所示：

$vmName="<Name of the VM>" 
$subscription="<Subscription ID associated with your cluster>" 
$resourceGroup="<Resource group name for your cluster>" 
$location="<Location for your Azure Stack HCI cluster>" 
$customLocationID=(az customlocation show --resource-group $resource_group --name "<custom location name for HCI cluster>" --query id -o tsv) 
$guestName="<Name of the guest>" 
$userName="<Username for VM>" 
$password="<Password for VM>" 
$galleryImageName="<Name of VM guest image>" 
$vNic="<Name of virtual network interface>" 

az stack-hci-vm create --name $vmName --subscription $subscription --resource-group $resourceGroup --custom-location=$customLocationID --location $location --size="Default" --computer-name $guestName --admin-username $userName --admin-password $password --image $galleryImageName --nics $vNic --enable-secure-boot true --enable-vtpm true --security-type "TrustedLaunch"

示例输出：

{
  "extendedLocation": {
    "name": "/subscriptions/myhci-sub/resourceGroups/myhci-rg/Microsoft.ExtendedLocation/customLocations/myhci-cl",
    "type": "CustomLocation"
  },
  "id": "/subscriptions/myhci-sub/resourceGroups/myhci-rg/providers/Microsoft.HybridCompute/machines/tvm1/providers/Microsoft.AzureStackHCI/virtualMachineInstances/default",
  "name": "default",
  "properties": {
    "hardwareProfile": {
      "dynamicMemoryConfig": {
        "maximumMemoryMb": null,
        "minimumMemoryMb": null,
        "targetMemoryBuffer": null
      },
      "memoryMb": 4096,
      "processors": 4,
      "vmSize": "Custom"
    },
    "instanceView": {
      "vmAgent": {
        "statuses": []
      }
    },
    "networkProfile": {
      "networkInterfaces": [
        {
          "id": "ram-nic"
        }
      ]
    },
    "osProfile": {
      "adminPassword": null,
      "adminUsername": "admin",
      "computerName": "myhci-tvm",
      "linuxConfiguration": {
        "disablePasswordAuthentication": null,
        "provisionVmAgent": false,
        "provisionVmConfigAgent": false,
        "ssh": {
          "publicKeys": null
        }
      },
      "windowsConfiguration": {
        "enableAutomaticUpdates": null,
        "provisionVmAgent": false,
        "provisionVmConfigAgent": false,
        "ssh": {
          "publicKeys": null
        },
        "timeZone": null
      }
    },
    "provisioningState": "Succeeded",
    "securityProfile": {
      "enableTpm": true,
      "securityType": "TrustedLaunch",
      "uefiSettings": {
        "secureBootEnabled": true
      }
    },
    "status": {
      "powerState": "Running"
    },
    "storageProfile": {
      "dataDisks": [],
      "imageReference": {
        "id": "/subscriptions/myhci-sub/resourceGroups/myhci-rg/providers/Microsoft.AzureStackHCI/marketplacegalleryimages/Win11EntMulti21H2",
        "resourceGroup": "myhci-rg"
      },
      "osDisk": {
        "id": null,
        "osType": "Windows"
      },
      "storagepathId": null
    },
    "vmId": "myhci-tvm-1234567890"
  },
  "resourceGroup": "myhci-rg",
  "systemData": {
    "createdAt": "2023-10-24T19:15:47.152610+00:00",
    "createdBy": "registration@contoso.com",
    "createdByType": "User",
    "lastModifiedAt": "2023-10-24T19:41:05.196469+00:00",
    "lastModifiedBy": "319f651f-7ddb-4fc6-9857-7aef9250bd05",
    "lastModifiedByType": "Application"
  },
  "tags": null,
  "type": "microsoft.azurestackhci/virtualmachineinstances"
}

创建 VM 后，将 VM 的安全类型验证为 “受信任的启动”。
运行以下 cmdlet 以查找 VM 的所有者节点：
```
Get-ClusterGroup $vmName
```
在 VM 的所有者节点上运行以下 cmdlet：
```
(Get-VM $vmName).GuestStateIsolationType
```
确保返回 TrustedLaunch 的值。

示例

此示例演示运行Windows 11来宾且启用了 BitLocker 加密的受信任启动 Arc VM。下面是练习方案的步骤：

创建运行受支持的Windows 11来宾操作系统的受信任启动 Arc VM。
为 Win 11 来宾上的 OS 卷启用 BitLocker 加密。

登录到Windows 11来宾并为 OS 卷) 启用 BitLocker 加密 (：在任务栏上的搜索框中，键入“管理 BitLocker”，然后从结果列表中选择它。选择“ 打开 BitLocker ”，然后按照说明 (C：) 加密 OS 卷。 BitLocker 将使用 vTPM 作为 OS 卷的密钥保护程序。

将 VM 迁移到群集中的另一个节点。运行以下 PowerShell 命令：

Move-ClusterVirtualMachineRole -Name $vmName -Node <destination node name> -MigrationType Shutdown

确认 VM 的所有者节点是指定的目标节点：
```
Get-ClusterGroup $vmName
```
VM 迁移完成后，验证 VM 是否可用以及 BitLocker 是否已启用。
验证是否可以登录到 VM 中的Windows 11来宾，以及 OS 卷的 BitLocker 加密是否保持启用状态。如果可以执行此操作，则会确认在 VM 迁移期间保留了 vTPM 状态。

如果在 VM 迁移期间未保留 vTPM 状态，则 VM 启动会导致在来宾启动期间恢复 BitLocker。也就是说，当你尝试登录到Windows 11来宾时，系统会提示你输入 BitLocker 恢复密码。这是因为 (目标节点上已迁移 VM 的 vTPM) 中存储的启动度量值与原始 VM 不同。
强制 VM 故障转移到群集中的另一个节点。
1. 使用以下命令确认 VM 的所有者节点：
```
Get-ClusterGroup $vmName
```
2. 使用故障转移群集管理器停止所有者节点上的群集服务，如下所示：选择故障转移群集管理器中显示的所有者节点。  在 “操作” 右窗格中，选择“ 更多操作” ，然后选择“ 停止群集服务”。
3. 停止所有者节点上的群集服务将导致 VM 自动迁移到群集中的另一个可用节点。之后重启群集服务。
故障转移完成后，验证 VM 是否可用，以及故障转移后是否已启用 BitLocker。
确认 VM 的所有者节点是指定的目标节点：
```
Get-ClusterGroup $vmName
```

后续步骤

管理受信任的启动 Arc VM 来宾状态保护密钥。

Share via

在 Azure Stack HCI 版本 23H2 上为 Azure Arc VM 部署受信任启动

先决条件

创建受信任的启动 Arc VM

示例

后续步骤

反馈

反馈

其他资源