Distribuire l'avvio attendibile per le macchine virtuali di Azure Arc in Azure Stack HCI versione 23H2
Si applica a: Azure Stack HCI, versione 23H2
Questo articolo descrive come distribuire l'avvio attendibile per le macchine virtuali di Azure Arc in Azure Stack HCI versione 23H2.
Prerequisiti
Assicurarsi di avere accesso a un cluster Azure Stack HCI versione 23H2 distribuito e registrato con Azure. Per altre informazioni, vedere Distribuire usando la portale di Azure.
Creare una macchina virtuale Arc di avvio attendibile
È possibile creare una macchina virtuale di avvio attendibile usando portale di Azure o usando l'interfaccia Command-Line di Azure. Usare le schede seguenti per selezionare un metodo.
Per creare una macchina virtuale Arc di avvio attendibile in Azure Stack HCI, seguire la procedura descritta in Creare macchine virtuali Arc in Azure Stack HCI usando portale di Azure, con le modifiche seguenti:
Durante la creazione della macchina virtuale, selezionare Avvio attendibile delle macchine virtuali per il tipo di sicurezza.
Selezionare un'immagine del sistema operativo guest della macchina virtuale dall'elenco delle immagini supportate:
Dopo aver creato una macchina virtuale, passare alla pagina delle proprietà della macchina virtuale e verificare che il tipo di sicurezza visualizzato sia Avvio attendibile.
Esempio
Questo esempio mostra una macchina virtuale Arc di avvio attendibile che esegue Windows 11 guest con crittografia BitLocker abilitata. Ecco i passaggi per eseguire lo scenario:
Creare una macchina virtuale Arc di avvio attendibile che esegue un sistema operativo guest supportato Windows 11.
Abilitare la crittografia BitLocker per il volume del sistema operativo nel guest Win 11.
Accedere al Windows 11 guest e abilitare la crittografia BitLocker (per il volume del sistema operativo): nella casella di ricerca sulla barra delle applicazioni digitare Gestisci BitLocker e quindi selezionarla dall'elenco dei risultati. Selezionare Attiva BitLocker e quindi seguire le istruzioni per crittografare il volume del sistema operativo (C:). BitLocker userà vTPM come protezione delle chiavi per il volume del sistema operativo.
Eseguire la migrazione della macchina virtuale a un altro nodo nel cluster. Eseguire il comando PowerShell seguente:
Move-ClusterVirtualMachineRole -Name $vmName -Node <destination node name> -MigrationType Shutdown
Verificare che il nodo proprietario della macchina virtuale sia il nodo di destinazione specificato:
Get-ClusterGroup $vmName
Al termine della migrazione della macchina virtuale, verificare se la macchina virtuale è disponibile e BitLocker è abilitata.
Verificare se è possibile accedere al Windows 11 guest nella macchina virtuale e se la crittografia BitLocker per il volume del sistema operativo rimane abilitata. Se è possibile eseguire questa operazione, questo conferma che lo stato vTPM è stato mantenuto durante la migrazione della macchina virtuale.
Se lo stato vTPM non è stato mantenuto durante la migrazione della macchina virtuale, l'avvio della macchina virtuale ha generato il ripristino di BitLocker durante l'avvio guest. In questo caso, è stato richiesto di richiedere la password di ripristino di BitLocker quando si è tentato di accedere al Windows 11 guest. Ciò è dovuto al fatto che le misurazioni di avvio (archiviate nella vTPM) della macchina virtuale migrata nel nodo di destinazione sono diverse da quella della macchina virtuale originale.
Forzare il failover della macchina virtuale in un altro nodo nel cluster.
Confermare il nodo proprietario della macchina virtuale usando questo comando:
Get-ClusterGroup $vmName
Usare Gestione cluster di failover per arrestare il servizio cluster nel nodo proprietario come indicato di seguito: selezionare il nodo proprietario come visualizzato in Gestione cluster di failover. Nel riquadro Azioni selezionare Altre azioni e quindi arrestare il servizio cluster.
L'arresto del servizio cluster nel nodo proprietario causerà la migrazione automatica della macchina virtuale a un altro nodo disponibile nel cluster. Riavviare il servizio cluster in seguito.
Al termine del failover, verificare se la macchina virtuale è disponibile e BitLocker è abilitata dopo il failover.
Verificare che il nodo proprietario della macchina virtuale sia il nodo di destinazione specificato:
Get-ClusterGroup $vmName