Ověření Azure pro virtuální počítače v místním prostředí Azure
Článek
Platí pro: Azure Local 2311.2 a novější
Microsoft Azure nabízí celou řadu diferencovaných úloh a možností, které jsou navržené tak, aby běžely jenom v Azure. Azure Local rozšiřuje řadu stejných výhod, které získáte z Azure, a zároveň běží na stejných známých a vysoce výkonných místních nebo hraničních prostředích.
Ověření Azure pro virtuální počítače umožňuje podporovaným úlohám s výhradním využitím Azure pracovat mimo cloud. Tato funkce, která je vytvořená podle služby ověření IMDS v Azure, je integrovaná služba ověření platformy, která je ve výchozím nastavení povolená na platformě Azure Local. Pomáhá poskytovat záruky pro tyto virtuální počítače, aby fungovaly v jiných prostředích Azure.
Další informace o předchozí verzi této funkce, verzi 22H2 nebo starší, najdete v části Výhody Azure na místnímAzure.
Výhody dostupné v Azure Local
Ověření pro virtuální počítače v Azure vám umožňuje využívat tyto výhody, které jsou dostupné pouze na platformě Azure Local.
Pracovní zátěž
Co to je
Jak získat výhody
Rozšířená aktualizace zabezpečení (ESU)
Získejte aktualizace zabezpečení bez dalších poplatků pro SQL a virtuální počítače s Windows Serverem, které jsou na Azure Local na konci podpory. Další informace najdete v tématu Bezplatné rozšířené aktualizace zabezpečení (ESU) v místním prostředí Azure.
Hostitelé relací AVD můžou běžet jenom v infrastruktuře Azure. Aktivujte virtuální počítače s více relacemi Windows v místní verzi Azure pomocí ověřování virtuálních počítačů v Azure. Licenční požadavky pro AVD stále platí. Podívejte se na ceny služby Azure Virtual Desktop.
Aktivováno automaticky pro virtuální počítače s Windows 11 ve více relacích verze s aktualizací 4B, vydanou 9. dubna 2024 (22H2: KB5036893, 21H2: KB5036894) nebo novější. Je nutné povolit podporu starších operačních systémů pro virtuální počítače běžící na verzi Windows 10 ve více relacích s aktualizací 4B vydanou 9. dubna 2024 KB5036892 nebo novější.
Windows Server Datacenter: Azure Edition
Virtuální počítače Azure Edition můžou běžet jenom na infrastruktuře Azure. Aktivujte virtuální počítače Se systémem Windows Server Azure Edition a využijte nejnovější inovace Windows Serveru a další exkluzivní funkce. Licenční požadavky stále platí. Podívejte se, jak licencovat virtuální počítače s Windows Serverem v Místním prostředí Azure.
Aktivovalo se automaticky pro virtuální počítače se systémem Windows Server Azure Edition 2022 s aktualizací 4B vydané 9. dubna 2024 (KB5036909) nebo novější.
Azure Update Manager
Získejte Azure Update Manager bez poplatků. Tato služba poskytuje řešení SaaS pro správu a řízení aktualizací softwaru pro virtuální počítače v Azure Local.
K dispozici automaticky pro virtuální počítače Arc vytvořené prostřednictvím Arc Resource Bridge v místním prostředí Azure. Pomocí Programu Software Assurance můžete svůj počítač otestovat pomocí výhod a licencí Arc Pro Windows Server Azure a získat AUM zdarma. Další informace najdete v tématu Azure Update Manager – nejčastější dotazy.
Konfigurace hosta služby Azure Policy
Získejte konfiguraci hosta azure Policy bez poplatků. Toto rozšíření Arc umožňuje auditování a konfiguraci nastavení operačního systému jako kód pro počítače a virtuální počítače.
Agent Arc verze 1.39 nebo novější. Podívejte se na nejnovější verzi agenta Arc.
Poznámka:
Pokud chcete zajistit nepřetržitou funkčnost, aktualizujte své virtuální počítače v Azure Local na nejnovější kumulativní aktualizaci do 17. června 2024. Tato aktualizace je nezbytná pro virtuální počítače, aby dál používaly výhody Azure. Další informace najdete v blogovém příspěvku Azure Local.
Správa ověřování virtuálních počítačů Azure
Ověřování virtuálních počítačů Azure je ve výchozím nastavení automaticky povolené v místním prostředí Azure. Následující pokyny popisují požadavky pro použití této funkce a kroky pro správu výhod (volitelné).
Ověření virtuálního počítače Azure můžete spravovat pomocí Centra pro správu Windows nebo PowerShellu nebo zobrazit jeho stav pomocí Azure CLI nebo webu Azure Portal. Jednotlivé možnosti jsou popsané v následujících částech.
Na stránce místního prostředku Azure přejděte na kartu Konfigurace .
V rámci funkce ověření Azure pro virtuální počítače zobrazte stav ověření hostitele.
Azure CLI je k dispozici k instalaci v prostředích s Windows, macOS a Linuxem. Dá se spustit také v Azure Cloud Shellu. Tato část popisuje, jak používat Bash v Azure Cloud Shellu. Další informace najdete v tématu Rychlý start pro Azure Cloud Shell.
Spusťte Azure Cloud Shell a pomocí Azure CLI zkontrolujte ověření virtuálního počítače Azure pomocí následujících kroků:
Nastavte parametry podle vašeho předplatného, skupiny prostředků a jména clusteru.
subscription="00000000-0000-0000-0000-000000000000" # Replace with your subscription ID
resourceGroup="local-rg" # Replace with your resource group name
clusterName="LocalCluster" # Replace with your cluster name
az account set --subscription "${subscription}"
Pokud chcete zobrazit stav ověření virtuálního počítače Azure v clusteru, spusťte následující příkaz:
az stack-hci cluster list \
--resource-group "${resourceGroup}" \
--query "[?name=='${clusterName}'].{Name:name, AzureBenefitsHostAttestation:reportedProperties.imdsAttestation}" \
-o table
Kontrola stavu ověření virtuálního počítače Azure
V Centru pro správu Windows vyberte v horní rozevírací nabídce Správce clusteru, přejděte do systému, který chcete aktivovat, a pak v části Nastavení vyberte ověření Azure pro virtuální počítače.
Postup kontroly stavu počítače azure pro ověření virtuálního počítače:
Stav na úrovni clusteru: Stav hostitele se zobrazí jako Zapnuto.
Stav na úrovni serveru: Na kartě Server na řídicím panelu zkontrolujte, jestli se stav každého počítače zobrazuje jako Aktivní v tabulce.
Řešení potíží se stroji
Pod kartou Server, pokud se jeden nebo více počítačů zobrazí jako Vypršelo:
Pokud se počítač nesynchronizuje s Azure déle než 30 dní, zobrazí se jeho stav jako Neaktivní nebo Vypršela platnost. Výběrem možnosti Synchronizovat s Azure naplánujte ruční synchronizaci.
Správa výhod aktivovaných na virtuálních počítačích
Pokud chcete zjistit, jaké výhody jsou na virtuálních počítačích aktivované, přejděte na kartu Virtuální počítače .
Na řídicím panelu se zobrazuje počet virtuálních počítačů s:
Aktivní výhody: Tyto virtuální počítače mají aktivované exkluzivní funkce Azure prostřednictvím ověřování virtuálních počítačů Azure.
Neaktivní výhody: Tyto virtuální počítače mají exkluzivní funkce Azure, které před aktivací potřebují další akci.
Neznámé: Nemůžeme určit oprávněné výhody pro tyto virtuální počítače, protože výměna dat Hyper-V je vypnutá. Podívejte se na následující část pro řešení potíží.
Žádné použitelné výhody: Tyto virtuální počítače nemají exkluzivní funkce Azure, a proto nevyžadují ověření virtuálního počítače Azure.
Na kartě VMs, pokud se zobrazí jedna nebo více VMs jako neaktivní služby:
Pokud je navržená akce instalace aktualizací, možná nemáte pro tuto výhodu požadovanou minimální verzi operačního systému. Aktualizujte virtuální počítač tak, aby splňoval požadavky na verzi pro úlohy.
Pokud je navržená akce zapnout rozhraní služby hosta, vyberte ho a otevřete kontextové podokno, abyste povolili rozhraní služby hosta Hyper-V. Tato funkce se vyžaduje, aby virtuální počítače komunikují s hostitelem přes VMbus.
Pokud se jedná o navrženou akci týkající se podpory starší verze operačního systému, přečtěte si téma řešení potíží se starší podporou operačního systému.
Pod kartou VMs, pokud se jeden nebo více virtuálních počítačů zobrazí jako Neznámý:
Pokud chcete určit výhody dostupné pro tyto virtuální počítače, můžete to udělat ručně tak, že zkontrolujete úplný seznam výhod dostupných v místním prostředí Azure nebo Centrum pro správu Windows tyto informace zobrazí. Pokud chcete získat přístup k informacím prostřednictvím Centra pro správu Windows, povolte pro své virtuální počítače výměnu dat Hyper-V tak, že vyberete akci s popiskem Zapnout výměnu dat Hyper-V.
Kontrola stavu virtuálního počítače v rámci ověřování Azure VM
Po úspěšném nastavení ověření virtuálního počítače Azure můžete zobrazit stav hostitele. Zkontrolujte systémovou vlastnost IMDS Attestation spuštěním následujícího příkazu:
Get-AzureStackHCI
Pokud chcete zobrazit stav ověření virtuálního počítače Azure pro počítače, spusťte následující příkaz:
Pokud ověření Azure VM pro jeden nebo více počítačů ještě není synchronizováno a obnoveno s Azure, může se zobrazit jako Vypršela platnost nebo Neaktivní. Naplánování ruční synchronizace:
Sync-AzureStackHCI
Správa výhod aktivovaných na virtuálních počítačích
Chcete-li zkontrolovat ověření přístupu k virtuálním počítačům Azure, spusťte následující příkaz:
Get-AzStackHCIVMAttestation
Poznámka:
Virtuální počítač podporovaný pro v2 může komunikovat s počítačem pomocí nástroje VMBus.
Naopak podporovaný virtuální počítač v1 je nakonfigurovaný se starší podporou operačního systému a má přístup k ověřování virtuálních počítačů Azure přes REST. Pokud virtuální počítač podporuje v1 i v2, použije se primárně metoda v2 (tj. VMBus), ale pokud dojde k problému, může se vrátit k v1.
Pokud chcete zkontrolovat, jestli je povolené rozhraní hostované služby Hyper-V, spusťte:
Get-VMIntegrationService [[-VMName] <VMName>] -Name "Guest Service Interface"
Chcete-li zapnout rozhraní služby hosta Hyper-V:
Enable-VMIntegrationService [[-VMName] <VMName>] -Name "Guest Service Interface"
Pokud chcete zkontrolovat, že virtuální počítače mají přístup k ověření virtuálního počítače Azure na hostiteli, spusťte na hostiteli následující příkaz:
Invoke-RestMethod -Headers @{"Metadata"="true"} -Method GET -Uri "http://127.0.0.1:42542/metadata/attested/document?api-version=2018-10-01" –usedefaultcredentials
Podpora starší verze operačního systému
U starších virtuálních počítačů, které nemají potřebné funkce Technologie Hyper-V (rozhraní služby hosta) pro komunikaci přímo s hostitelem, musíte nakonfigurovat tradiční síťové komponenty pro ověření virtuálního počítače Azure. Pokud máte tyto úlohy, jako jsou rozšířené aktualizace zabezpečení (ESU), nastavte podporu starších operačních systémů podle pokynů v této části.
Starší verzi podpory operačního systému teď nemůžete zobrazit na webu Azure Portal.
Azure CLI je k dispozici k instalaci v prostředích s Windows, macOS a Linuxem. Dá se spustit také v Azure Cloud Shellu. Tato část popisuje, jak používat Bash v Azure Cloud Shellu. Další informace najdete v rychlém startu pro Azure Cloud Shell.
Spusťte Azure Cloud Shell a pomocí Azure CLI zkontrolujte ověření virtuálního počítače Azure pomocí následujícího postupu:
Nastavte parametry z vašeho předplatného, skupiny zdrojů a názvu clusteru:
subscription="00000000-0000-0000-0000-000000000000" # Replace with your subscription ID
resourceGroup="local-rg" # Replace with your resource group name
clusterName="LocalCluster" # Replace with your cluster name
az account set --subscription "${subscription}"
Pokud chcete zobrazit stav podpory starší verze operačního systému v clusteru, spusťte následující příkaz:
az stack-hci cluster list \
--resource-group "${resourceGroup}" \
--query "[?name=='${clusterName}'].{Name:name, AzureBenefitsHostAttestation:reportedProperties.supportedCapabilities}" \
-o table
1. Zapnutí podpory starší verze operačního systému na hostiteli
V Centru pro správu Windows vyberte v horní rozevírací nabídce Správce clusteru, přejděte do systému, který chcete aktivovat, a pak v části Nastavení vyberte ověření Azure pro virtuální počítače.
V části podpora pro starší operační systémy vyberte Změnit stav. V kontextovém podokně vyberte Zapnuto . Toto nastavení také umožňuje síťový přístup pro všechny existující virtuální počítače. U všech nových virtuálních počítačů, které vytvoříte později, musíte ručně zapnout podporu starší verze operačního systému.
Potvrďte akci výběrem možnosti Změnit stav . Může trvat několik minut, než se změny projeví v počítačích.
Pokud je podpora starší verze operačního systému úspěšně zapnutá:
Zkontrolujte, zda podpora staršího OS je nastavena na Zapnuto.
Na kartě Server na řídicím panelu zkontrolujte, zda je podpora starších OS pro každý počítač uvedena jako Zapnuto v tabulce.
2. Povolení přístupu pro nové virtuální počítače
Pro všechny nové virtuální počítače, které vytvoříte po prvním nastavení, musíte povolit starší síť operačního systému. Pokud chcete spravovat přístup k virtuálním počítačům, přejděte na kartu virtuálních počítačů . Jakýkoli virtuální počítač, který vyžaduje podporu starší verze operačního systému, se zobrazí jako Neaktivní. Vyberte akci pro nastavení staršího síťování operačního systému pro vybraný virtuální počítač nebo pro všechny existující virtuální počítače v systému.
Poznámka:
Pokud chcete úspěšně povolit podporu starších operačních systémů na virtuálních počítačích generace 1, musí být virtuální počítač nejprve vypnutý, aby bylo možné síťové rozhraní přidat.
1. Zapnutí podpory starší verze operačního systému na hostiteli
V místním prostředí Azure spusťte následující příkaz z okna PowerShellu se zvýšenými oprávněními:
Enable-AzStackHCIAttestation
Nebo pokud chcete přidat všechny existující virtuální počítače při instalaci, můžete spustit následující příkaz:
Enable-AzStackHCIAttestation -AddVM
Zkontrolujte, jestli je zapnutá podpora starší verze operačního systému:
Pokud chcete v systému vypnout a resetovat podporu starší verze operačního systému, spusťte následující příkaz:
Disable-AzStackHCIAttestation -RemoveVM
2. Povolení přístupu pro virtuální počítače
Pokud chcete nakonfigurovat síťový přístup pro vybrané virtuální počítače, spusťte na místním prostředí Azure následující příkaz:
Add-AzStackHCIVMAttestation [-VMName]
Pokud chcete přidat všechny existující virtuální počítače, spusťte následující příkaz:
Add-AzStackHCIVMAttestation -AddAll
Získejte seznam virtuálních počítačů, které mají přístup ke starší podpoře operačního systému:
Get-AzStackHCIVMAttestation
Poznámka:
Pokud chcete úspěšně povolit podporu starších operačních systémů na virtuálních počítačích generace 1, musí být virtuální počítač nejprve vypnutý, aby bylo možné síťové rozhraní přidat.
Řešení potíží s virtuálními počítači
Odebrání přístupu ke starší verzi podpory operačního systému pro vybrané virtuální počítače:
Remove-AzStackHCIVMAttestation -VMName <string>
Nebo odebrání přístupu pro všechny existující virtuální počítače:
Remove-AzStackHCIVMAttestation -RemoveAll
Pokud chcete zkontrolovat, jestli mají virtuální počítače přístup ke starší podpoře operačního systému na hostiteli, spusťte na virtuálním počítači následující příkaz:
Invoke-RestMethod -Headers @{"Metadata"="true"} -Method GET -Uri http://169.254.169.253:80/metadata/attested/document?api-version=2018-10-01
Často kladené dotazy
Tato část obsahuje odpovědi na některé nejčastější dotazy týkající se používání výhod Azure.
Jaké exkluzivní úlohy Azure můžu povolit s ověřováním virtuálních počítačů Azure?
Stojí za to něco, aby bylo možné povolit ověřování virtuálních počítačů Azure?
Ne. Zapnutím ověřování virtuálních počítačů Azure se neúčtují žádné další poplatky.
Můžu použít ověřování virtuálních počítačů Azure v jiných prostředích než Azure Local?
Ne. Ověření virtuálního počítače Azure je funkce integrovaná do místního Prostředí Azure a dá se použít jenom v místním Prostředí Azure.
Pokud jsem právě upgradoval z verze 22H2 a dříve jsem zapnul(a) funkci Výhod Azure, musím udělat něco nového?
Pokud jste upgradovali systém, který dříve měl výhody Azure nastavené v místním Azure pro vaše úlohy, nemusíte při upgradu na Azure Local dělat nic. Po upgradu zůstane tato funkce povolená a je zapnutá i podpora starší verze operačního systému. Pokud ale chcete použít vylepšený způsob komunikace mezi virtuálními počítači přes sběrnici virtuálních počítačů, ujistěte se, že máte požadované požadavky na hostitele a požadavky na virtuálních počítačů.
Právě jsem nastavil ověřování virtuálních počítačů Azure v systému. Jak zajistit, aby ověřování virtuálních počítačů Azure zůstalo aktivní?
Ve většině případů není nutná žádná akce uživatele. Azure Local při synchronizaci s Azure automaticky prodlouží ověření virtuálního počítače Azure.
Pokud se ale systém po dobu delší než 30 dnů odpojí a ověření virtuálního počítače Azure se zobrazí jako prošlé, můžete ručně synchronizovat pomocí PowerShellu a Centra pro správu Windows. Další informace najdete v tématu Synchronizace místního prostředí Azure.
Co se stane, když nasadím nové virtuální počítače nebo odstraním virtuální počítače?
Když nasadíte nové virtuální počítače, které vyžadují ověření virtuálního počítače Azure, automaticky se aktivují, pokud mají správné požadavky na virtuální počítač.
U starších virtuálních počítačů, které používají podporu starší verze operačního systému, ale můžete ručně přidat nové virtuální počítače pro přístup k ověřování virtuálních počítačů Azure pomocí Centra pro správu Windows nebo PowerShellu pomocí předchozích pokynů.
Virtuální počítače můžete i nadále odstraňovat a migrovat jako obvykle. Síťová karta AZSHCI_GUEST-IMDS_DO_NOT_MODIFY stále existuje na virtuálním počítači po migraci. Pokud chcete před migrací vyčistit síťovou kartu, můžete odebrat virtuální počítače z ověřování virtuálních počítačů Azure pomocí Centra pro správu Windows nebo PowerShellu pomocí předchozích pokynů pro podporu starších operačních systémů nebo můžete nejprve migrovat a ručně odstranit síťové karty.
Co se stane, když přidám nebo odeberu počítače?
Když přidáte počítač, aktivuje se automaticky, pokud má správné požadavky na hostitele.
Pokud používáte podporu starší verze operačního systému, možná budete muset tyto počítače povolit ručně. Spusťte Enable-AzStackHCIAttestation [[-ComputerName] <String>] v PowerShellu. Počítače můžete i nadále odstraňovat nebo je z systému odebírat obvyklým způsobem. Nástroj vSwitch AZSHCI_HOST-IMDS_DO_NOT_MODIFY stále existuje na počítači po odebrání ze systému. Pokud chcete počítač později přidat zpět do systému, můžete ho nechat, nebo ho můžete odebrat ručně.