Introdução à inicialização confiável para VMs do Azure Arc no Azure Stack HCI, versão 23H2
Aplica-se a: Azure Stack HCI, versão 23H2
Este artigo apresenta a inicialização confiável para máquinas virtuais (VMs) do Azure Arc no Azure Stack HCI, versão 23H2. Você pode criar uma VM Arc de inicialização confiável usando o portal do Azure ou usando a CLI (Interface de Linha de Comando) do Azure.
Introdução
A inicialização confiável para VMs do Azure Arc oferece suporte à inicialização segura, ao vTPM (Trusted Platform Module) virtual e à transferência de estado do vTPM quando uma VM migra ou faz failover em um cluster.
A inicialização confiável é um tipo de segurança que pode ser especificado ao criar VMs Arc no Azure Stack HCI. Para obter mais informações, consulte Início confiável para VMs do Azure Arc no Azure Stack HCI.
Recursos e benefícios
| Funcionalidade | Benefício |
|---|---|
| Inicialização Segura | Ajuda a reduzir o risco de malware (rootkits) durante a inicialização, verificando se os componentes de inicialização são assinados por editores confiáveis. |
| vTPM | Versão virtualizada de um TPM de hardware que serve como um cofre dedicado para chaves, certificados e segredos. |
| Transferência de estado vTPM | Preserva o vTPM quando a VM migra ou faz failover em um cluster. |
| Segurança baseada em virtualização (VBS) | Convidado na VM pode criar regiões isoladas de memória usando o suporte VBS. |
Observação
A verificação de integridade de inicialização do convidado da VM não está disponível.
Diretrizes
IgvmAgent é um componente instalado em todos os nós no cluster HCI do Azure Stack. Ele permite o suporte para VMs isoladas, como VMs Arc de inicialização confiáveis, por exemplo.
Como parte da criação de VM Arc de inicialização confiável, o Hyper-V cria arquivos de VM no disco para armazenar o estado da VM. Por padrão, o acesso a esses arquivos de VM é restrito aos administradores do servidor host. Os administradores de host devem garantir que o local onde esses arquivos de VM são armazenados sempre permaneça com restrição de acesso adequada.
O tráfego de rede de migração ao vivo da VM não é criptografado. É altamente recomendável que você habilite uma tecnologia de criptografia de camada de rede, como IPsec, para proteger o tráfego de rede de migração ao vivo.
Imagens do sistema operacional convidado
Há suporte para as seguintes imagens do sistema operacional convidado da VM do Azure Marketplace. A imagem da VM pode ser criada usando o portal do Azure ou a CLI do Azure.
Para obter mais informações, consulte Criar imagem de VM HCI do Azure Stack usando o Azure Marketplace.
| Nome | Publicador | Oferta | SKU | Número da versão |
|---|---|---|---|---|
| Windows 11 Enterprise multi-sessão, versão 22H2 - Gen2 | MicrosoftWindowsDesktop | janelas-11 | win11-22h2-avd | 22621.2428.231001 |
| Windows 11 Enterprise multi-sessão, versão 22H2 + Microsoft 365 Apps (visualização) - Gen2 | MicrosoftWindowsDesktop | windows11preview | win11-22h2-avd-m365 | 22621.382.220810 |
| Windows 11 Enterprise multi-sessão, versão 21H2 - Gen2 | MicrosoftWindowsDesktop | janelas-11 | win11-21h2-avd | 22000.2538.231001 |
| Windows 11 Enterprise multi-sessão, versão 21H2 + Microsoft 365 Apps - Gen2 | MicrosoftWindowsDesktop | escritório-365 | Win10-21H2-AVD-M365-G2 | 19044.3570.231010 |
Observação
Não há suporte para imagens de convidado de VM obtidas fora do Azure Marketplace.
Próximas etapas
- Implante VMs Arc de inicialização confiáveis.