Share via

在 Azure Stack HCI 版本 23H2 上部署 Azure Arc VM 的信任啟動

  • 發行項

適用於:Azure Stack HCI 版本 23H2

本文說明如何在 Azure Stack HCI 版本 23H2 上部署 Azure Arc 虛擬機 (VM) 受信任的啟動。

必要條件

請確定您可以存取已部署並向 Azure 註冊的 Azure Stack HCI 版本 23H2 叢集。 如需詳細資訊,請參閱使用 Azure 入口網站 進行部署

建立受信任的啟動Arc VM

您可以使用 Azure 入口網站 或使用 Azure Command-Line Interface (CLI) 來建立受信任的啟動 VM。 使用下列索引標籤來選取方法。

若要在 Azure Stack HCI 上建立受信任的啟動 Arc VM,請遵循使用 Azure 入口網站 在 Azure Stack HCI 上建立 Arc 虛擬機中的步驟,並進行下列變更:

  1. 建立 VM 時,請選取 [信任啟動虛擬機 ] 以取得安全性類型。

    顯示 [信任啟動類型] 選取項目的螢幕快照。

  2. 從支援的映像清單中選取 VM 客體 OS 映射:

    顯示支援的來賓影像選取項目的螢幕快照。

  3. 建立 VM 之後,請移至 VM 屬性 頁面,並確認顯示的安全性類型為 [信任啟動]。

    顯示屬性頁面的螢幕快照。

範例

此範例顯示執行 Windows 11 客體且已啟用 BitLocker 加密的受信任啟動 Arc VM。 以下是練習案例的步驟:

  1. 建立受信任的啟動Arc VM,執行支援的 Windows 11客體作業系統。

  2. 為 Win 11 客體上的 OS 磁碟區啟用 BitLocker 加密。

    登入 Windows 11 客體,併為 OS 磁碟區啟用 BitLocker 加密 () :在任務欄的搜尋方塊中,輸入 [管理 BitLocker],然後從結果清單中選取它。 選取 [開啟 BitLocker ],然後依照指示將 OS 磁碟區加密 (C:) 。 BitLocker 將使用 vTPM 作為 OS 磁碟區的密鑰保護裝置。

  3. 將 VM 遷移至叢集中的另一個節點。 執行下列 PowerShell 命令:

    Move-ClusterVirtualMachineRole -Name $vmName -Node <destination node name> -MigrationType Shutdown

  4. 確認 VM 的擁有者節點是指定的目的地節點:

    Get-ClusterGroup $vmName

  5. VM 移轉完成之後,請確認 VM 是否可用且已啟用 BitLocker。

  6. 確認您是否可以在 VM 中登入 Windows 11 客體,以及 OS 磁碟區的 BitLocker 加密是否保持啟用狀態。 如果可以這麼做,這會確認 vTPM 狀態已在 VM 移轉期間保留。

    如果在 VM 移轉期間未保留 vTPM 狀態,VM 啟動會導致客體開機期間進行 BitLocker 復原。 也就是說,當您嘗試登入 Windows 11 來賓時,系統就會提示您輸入 BitLocker 修復密碼。 這是因為 (儲存在目的地節點上已移轉 VM 的 vTPM) 開機度量與原始 VM 不同。

  7. 強制 VM 故障轉移至叢集中的另一個節點。

    1. 使用此指令確認 VM 的擁有者節點:

      Get-ClusterGroup $vmName

    2. 使用故障轉移叢集管理員來停止擁有者節點上的叢集服務,如下所示:選取故障轉移叢集管理員中顯示的擁有者節點。  在 [ 動作 ] 右窗格中,選取 [更多動作 ],然後選取 [ 停止叢集服務]。

    3. 停止擁有者節點上的叢集服務會導致 VM 自動移轉至叢集中的另一個可用節點。 之後重新啟動叢集服務。

  8. 故障轉移完成之後,請確認 VM 是否可用,並在故障轉移之後啟用 BitLocker。

  9. 確認 VM 的擁有者節點是指定的目的地節點:

    Get-ClusterGroup $vmName

下一步