Azure Stack HCI 버전 23H2에서 Azure Arc VM에 대한 신뢰할 수 있는 시작 배포

아티클
02/27/2024

적용 대상: Azure Stack HCI, 버전 23H2

이 문서에서는 Azure Stack HCI 버전 23H2에서 Azure Arc VM(가상 머신)에 대한 신뢰할 수 있는 시작을 배포하는 방법을 설명합니다.

사전 요구 사항

Azure에 배포되고 등록된 Azure Stack HCI 버전 23H2 클러스터에 액세스할 수 있는지 확인합니다. 자세한 내용은 Azure Portal 사용하여 배포를 참조하세요.

신뢰할 수 있는 시작 Arc VM 만들기

Azure Portal 사용하거나 Azure Command-Line 인터페이스(CLI)를 사용하여 신뢰할 수 있는 시작 VM을 만들 수 있습니다. 아래 탭을 사용하여 메서드를 선택합니다.

Azure Portal
Azure CLI

Azure Stack HCI에서 신뢰할 수 있는 시작 Arc VM을 만들려면 다음 변경 내용과 함께 Azure Portal 사용하여 Azure Stack HCI에서 Arc 가상 머신 만들기의 단계를 수행합니다.

VM을 만드는 동안 보안 유형 에 대해 신뢰할 수 있는 시작 가상 머신 을 선택합니다.
지원되는 이미지 목록에서 VM 게스트 OS 이미지를 선택합니다.
VM이 만들어지면 VM 속성 페이지로 이동하여 표시된 보안 유형이 신뢰할 수 있는 시작인지 확인합니다.

Azure Stack HCI에서 신뢰할 수 있는 시작 Arc VM을 만들려면 다음 변경 내용과 함께 Azure CLI를 사용하여 Azure Stack HCI에서 Arc 가상 머신 만들기 의 단계를 수행합니다.

Azure Marketplace 신뢰할 수 있는 시작에서 지원되는 VM 게스트 OS 이미지를 사용하여 VM 이미지를 만듭니다. 자세한 내용은 Azure Marketplace 사용하여 Azure Stack HCI VM 이미지 만들기를 참조하세요.

다음과 같이 CLI를 사용하여 VM을 만듭니다.

$vmName="<Name of the VM>" 
$subscription="<Subscription ID associated with your cluster>" 
$resourceGroup="<Resource group name for your cluster>" 
$location="<Location for your Azure Stack HCI cluster>" 
$customLocationID=(az customlocation show --resource-group $resource_group --name "<custom location name for HCI cluster>" --query id -o tsv) 
$guestName="<Name of the guest>" 
$userName="<Username for VM>" 
$password="<Password for VM>" 
$galleryImageName="<Name of VM guest image>" 
$vNic="<Name of virtual network interface>" 

az stack-hci-vm create --name $vmName --subscription $subscription --resource-group $resourceGroup --custom-location=$customLocationID --location $location --size="Default" --computer-name $guestName --admin-username $userName --admin-password $password --image $galleryImageName --nics $vNic --enable-secure-boot true --enable-vtpm true --security-type "TrustedLaunch"

샘플 출력:

{
  "extendedLocation": {
    "name": "/subscriptions/myhci-sub/resourceGroups/myhci-rg/Microsoft.ExtendedLocation/customLocations/myhci-cl",
    "type": "CustomLocation"
  },
  "id": "/subscriptions/myhci-sub/resourceGroups/myhci-rg/providers/Microsoft.HybridCompute/machines/tvm1/providers/Microsoft.AzureStackHCI/virtualMachineInstances/default",
  "name": "default",
  "properties": {
    "hardwareProfile": {
      "dynamicMemoryConfig": {
        "maximumMemoryMb": null,
        "minimumMemoryMb": null,
        "targetMemoryBuffer": null
      },
      "memoryMb": 4096,
      "processors": 4,
      "vmSize": "Custom"
    },
    "instanceView": {
      "vmAgent": {
        "statuses": []
      }
    },
    "networkProfile": {
      "networkInterfaces": [
        {
          "id": "ram-nic"
        }
      ]
    },
    "osProfile": {
      "adminPassword": null,
      "adminUsername": "admin",
      "computerName": "myhci-tvm",
      "linuxConfiguration": {
        "disablePasswordAuthentication": null,
        "provisionVmAgent": false,
        "provisionVmConfigAgent": false,
        "ssh": {
          "publicKeys": null
        }
      },
      "windowsConfiguration": {
        "enableAutomaticUpdates": null,
        "provisionVmAgent": false,
        "provisionVmConfigAgent": false,
        "ssh": {
          "publicKeys": null
        },
        "timeZone": null
      }
    },
    "provisioningState": "Succeeded",
    "securityProfile": {
      "enableTpm": true,
      "securityType": "TrustedLaunch",
      "uefiSettings": {
        "secureBootEnabled": true
      }
    },
    "status": {
      "powerState": "Running"
    },
    "storageProfile": {
      "dataDisks": [],
      "imageReference": {
        "id": "/subscriptions/myhci-sub/resourceGroups/myhci-rg/providers/Microsoft.AzureStackHCI/marketplacegalleryimages/Win11EntMulti21H2",
        "resourceGroup": "myhci-rg"
      },
      "osDisk": {
        "id": null,
        "osType": "Windows"
      },
      "storagepathId": null
    },
    "vmId": "myhci-tvm-1234567890"
  },
  "resourceGroup": "myhci-rg",
  "systemData": {
    "createdAt": "2023-10-24T19:15:47.152610+00:00",
    "createdBy": "registration@contoso.com",
    "createdByType": "User",
    "lastModifiedAt": "2023-10-24T19:41:05.196469+00:00",
    "lastModifiedBy": "319f651f-7ddb-4fc6-9857-7aef9250bd05",
    "lastModifiedByType": "Application"
  },
  "tags": null,
  "type": "microsoft.azurestackhci/virtualmachineinstances"
}

VM이 만들어지면 VM의 보안 유형을 신뢰할 수 있는 시작으로 확인합니다.
다음 cmdlet을 실행하여 VM의 소유자 노드를 찾습니다.
```
Get-ClusterGroup $vmName
```
VM의 소유자 노드에서 다음 cmdlet을 실행합니다.
```
(Get-VM $vmName).GuestStateIsolationType
```
TrustedLaunch 값이 반환되는지 확인합니다.

예제

이 예제에서는 BitLocker 암호화가 사용하도록 설정된 Windows 11 게스트를 실행하는 신뢰할 수 있는 시작 Arc VM을 보여 줍니다. 시나리오를 연습하는 단계는 다음과 같습니다.

지원되는 Windows 11 게스트 운영 체제를 실행하는 신뢰할 수 있는 시작 Arc VM을 만듭니다.
Win 11 게스트에서 OS 볼륨에 BitLocker 암호화를 사용하도록 설정합니다.

Windows 11 게스트에 로그인하고 BITLocker 암호화(OS 볼륨용)를 사용하도록 설정합니다. 작업 표시줄의 검색 상자에 BitLocker 관리를 입력한 다음 결과 목록에서 선택합니다. BitLocker 켜기를 선택한 다음 지침에 따라 OS 볼륨(C:)을 암호화합니다. BitLocker는 vTPM을 OS 볼륨의 키 보호자로 사용합니다.
VM을 클러스터의 다른 노드로 마이그레이션합니다. 다음 PowerShell 명령을 실행합니다.
```
Move-ClusterVirtualMachineRole -Name $vmName -Node <destination node name> -MigrationType Shutdown
```
VM의 소유자 노드가 지정된 대상 노드인지 확인합니다.
```
Get-ClusterGroup $vmName
```
VM 마이그레이션이 완료되면 VM을 사용할 수 있고 BitLocker를 사용할 수 있는지 확인합니다.
VM에서 Windows 11 게스트에 로그인할 수 있는지, OS 볼륨에 대한 BitLocker 암호화가 계속 활성화되어 있는지 확인합니다. 이렇게 할 수 있는 경우 VM 마이그레이션 중에 vTPM 상태가 유지되었음을 확인합니다.

VM 마이그레이션 중에 vTPM 상태가 유지되지 않은 경우 VM을 시작하면 게스트 부팅 중에 BitLocker가 복구됩니다. 즉, Windows 11 게스트에 로그인하려고 할 때 BitLocker 복구 암호를 묻는 메시지가 표시되었을 것입니다. 대상 노드에서 마이그레이션된 VM의 부팅 측정값(vTPM에 저장됨)이 원래 VM의 부팅 측정값과 다르기 때문입니다.
VM이 클러스터의 다른 노드로 장애 조치(failover)되도록 합니다.
1. 다음 명령을 사용하여 VM의 소유자 노드를 확인합니다.
```
Get-ClusterGroup $vmName
```
2. 장애 조치(failover) 클러스터 관리자를 사용하여 다음과 같이 소유자 노드에서 클러스터 서비스를 중지합니다. 장애 조치(failover) 클러스터 관리자에 표시된 대로 소유자 노드를 선택합니다.  작업 오른쪽 창에서 추가 작업을 선택한 다음 클러스터 서비스 중지를 선택합니다.
3. 소유자 노드에서 클러스터 서비스를 중지하면 VM이 클러스터에서 사용 가능한 다른 노드로 자동으로 마이그레이션됩니다. 나중에 클러스터 서비스를 다시 시작합니다.
장애 조치(failover)가 완료되면 VM을 사용할 수 있고 장애 조치(failover) 후 BitLocker를 사용할 수 있는지 확인합니다.
VM의 소유자 노드가 지정된 대상 노드인지 확인합니다.
```
Get-ClusterGroup $vmName
```

다음 단계

신뢰할 수 있는 시작 Arc VM 게스트 상태 보호 키를 관리합니다.

다음을 통해 공유

Azure Stack HCI 버전 23H2에서 Azure Arc VM에 대한 신뢰할 수 있는 시작 배포

사전 요구 사항

신뢰할 수 있는 시작 Arc VM 만들기

예제

다음 단계

피드백

추가 리소스