Introduzione all'avvio attendibile per le macchine virtuali Di Azure Arc in Azure Stack HCI, versione 23H2
Si applica a: Azure Stack HCI, versione 23H2
Questo articolo presenta l'avvio attendibile per le macchine virtuali (VM) di Azure Arc in Azure Stack HCI, versione 23H2. È possibile creare una macchina virtuale Arc di avvio attendibile usando portale di Azure o usando interfaccia della riga di comando di Azure (INTERFACCIA della riga di comando).
Introduzione
L'avvio attendibile per le macchine virtuali di Azure Arc supporta l'avvio protetto, il virtual Trusted Platform Module (vTPM) e il trasferimento dello stato vTPM quando una macchina virtuale esegue la migrazione o il failover all'interno di un cluster.
L'avvio attendibile è un tipo di sicurezza che può essere specificato durante la creazione di macchine virtuali Arc in Azure Stack HCI. Per altre informazioni, vedere Avvio attendibile per le macchine virtuali di Azure Arc in Azure Stack HCI.
Funzionalità e vantaggi
| Funzionalità | Vantaggio |
|---|---|
| Avvio protetto | Consente di ridurre il rischio di malware (rootkit) durante l'avvio verificando che i componenti di avvio siano firmati da autori attendibili. |
| vTPM | Versione virtualizzata di un TPM hardware che funge da insieme di credenziali dedicato per chiavi, certificati e segreti. |
| Trasferimento dello stato vTPM | Mantiene vTPM quando la macchina virtuale esegue la migrazione o il failover all'interno di un cluster. |
| Sicurezza basata su virtualizzazione (VBS) | Il guest nella macchina virtuale può creare aree isolate di memoria usando il supporto vbs. |
Nota
La verifica dell'integrità dell'avvio guest della macchina virtuale non è disponibile.
Indicazioni
IgvmAgent è un componente installato in tutti i nodi del cluster Azure Stack HCI. Abilita il supporto per macchine virtuali isolate, ad esempio macchine virtuali Arc di avvio attendibile.
Nell'ambito della creazione di una macchina virtuale Arc attendibile, Hyper-V crea file di vm su disco per archiviare lo stato della macchina virtuale. Per impostazione predefinita, l'accesso a tali file di macchina virtuale è limitato agli amministratori del server host. Gli amministratori host devono assicurarsi che il percorso in cui vengono archiviati i file di macchina virtuale rimanga sempre limitato in modo appropriato.
Il traffico di rete della migrazione in tempo reale della macchina virtuale non è crittografato. È consigliabile abilitare una tecnologia di crittografia a livello di rete, ad esempio IPsec, per proteggere il traffico di rete della migrazione in tempo reale.
Immagini del sistema operativo guest
Sono supportate le immagini del sistema operativo guest della macchina virtuale seguenti di Azure Marketplace. L'immagine della macchina virtuale può essere creata usando portale di Azure o l'interfaccia della riga di comando di Azure.
Per altre informazioni, vedere Creare un'immagine di macchina virtuale di Azure Stack HCI con Azure Marketplace.
| Nome | Autore | Offerta | SKU | Numero versione |
|---|---|---|---|---|
| Windows 11 Enterprise multisessione, versione 22H2 - Gen2 | microsoftwindowsdesktop | windows-11 | win11-22h2-avd | 22621.2428.231001 |
| Windows 11 Enterprise multisessione, versione 22H2 + Microsoft 365 Apps (anteprima) - Gen2 | microsoftwindowsdesktop | windows11preview | win11-22h2-avd-m365 | 22621.382.220810 |
| Windows 11 Enterprise multisessione, versione 21H2 - Gen2 | microsoftwindowsdesktop | windows-11 | win11-21h2-avd | 22000.2538.231001 |
| Windows 11 Enterprise multisessione, versione 21H2 + Microsoft 365 Apps - Gen2 | microsoftwindowsdesktop | office-365 | win10-21h2-avd-m365-g2 | 19044.3570.231010 |
Nota
Le immagini guest delle macchine virtuali ottenute all'esterno di Azure Marketplace non sono supportate.
Passaggi successivi
- Distribuire macchine virtuali Arc di avvio attendibile.