Преимущества Azure в Azure Stack HCI (22H2 и более ранних версий)

Статья
11/28/2023

Область применения: Azure Stack HCI, версии 22H2 и 21H2

Примечание.

Эта статья предназначена только для Azure Stack HCI версии 22H2 и более ранних версий. Список преимуществ, связанных с версией 23H2 и более поздними версиями, см. в статье "Проверка Azure для виртуальных машин".

Microsoft Azure предлагает ряд разных рабочих нагрузок и возможностей, предназначенных для запуска только в Azure. Azure Stack HCI расширяет множество одинаковых преимуществ, которые вы получаете от Azure, при этом работает в одних и том же знакомых и высокопроизводительных локальных или пограничных средах.

Преимущества Azure позволяют поддерживать поддерживаемые рабочие нагрузки, исключающие Azure, для работы за пределами облака. Вы можете включить Преимущества Azure в Azure Stack HCI без дополнительной платы. Если у вас есть рабочие нагрузки Windows Server, рекомендуется включить его.

Чтобы просмотреть вводное видео о преимуществах Azure, сделайте несколько минут:

Преимущества Azure, доступные в Azure Stack HCI

Включение преимуществ Azure позволяет использовать эти эксклюзивные рабочие нагрузки Azure в Azure Stack HCI:

Рабочая нагрузка	Поддерживаемые версии	Что это
Центр обработки данных Windows Server: Выпуск Azure	Выпуск 2022 или более поздней версии	Гостевая операционная система только для Azure, которая включает все последние инновации Windows Server и другие эксклюзивные функции. Дополнительные сведения: автоматическое управление для Windows Server
Расширенное обновление системы безопасности (ESUs)	Обновления системы безопасности от 12 октября 2021 г. или более поздней версии	Программа, которая позволяет клиентам продолжать получать обновления системы безопасности для виртуальных машин SQL Server и Windows Server без поддержки, теперь бесплатно при запуске в Azure Stack HCI. Дополнительные сведения см. в статье "Расширенные обновления безопасности" (ESU) в Azure Stack HCI.
Сведения о гостевой конфигурации службы "Политика Azure".	Агент Arc версии 1.13 или более поздней версии	Функция, которая может выполнять аудит или настройку параметров ОС в качестве кода как для узлов, так и для гостевых компьютеров. Дополнительные сведения: сведения о функции гостевой конфигурации Политика Azure
Виртуальный рабочий стол Azure	Только для выпусков с несколькими сеансами. Windows 10 Корпоративная нескольких сеансов или более поздних версий.	Служба, которая позволяет развертывать узлы сеансов Виртуального рабочего стола Azure в инфраструктуре Azure Stack HCI. Дополнительные сведения см. в обзоре виртуального рабочего стола Azure для Azure Stack HCI.

Принцип работы

Этот раздел является необязательным чтением и объясняет, как преимущества Azure в HCI работают "под капотом".

Преимущества Azure используют встроенную службу аттестации платформы в Azure Stack HCI и обеспечивают уверенность в том, что виртуальные машины действительно работают в средах Azure.

Эта служба моделиируется после той же службы аттестации IMDS, которая выполняется в Azure, чтобы включить некоторые из этих же рабочих нагрузок и преимуществ, доступных клиентам в Azure. Преимущества Azure возвращают практически идентичные полезные данные. Основное различие заключается в том, что он выполняется локально и поэтому гарантирует, что виртуальные машины работают в Azure Stack HCI вместо Azure.

Включение преимуществ Azure запускает службу, запущенную в кластере Azure Stack HCI:

На каждом сервере HciSvc получает сертификат из Azure и безопасно сохраняет его в анклавах на сервере.

Примечание.

Сертификаты обновляются каждый раз, когда кластер Azure Stack HCI синхронизируется с Azure, и каждое продление действителен в течение 30 дней. Если вы поддерживаете обычные 30-дневные требования к подключению для Azure Stack HCI, никаких действий пользователя не требуется.
HciSvc предоставляет частную и неизменяемую конечную точку REST, доступную только виртуальным машинам на одном сервере. Чтобы включить эту конечную точку, на узле Azure Stack HCI настроен внутренний vSwitch (с именем AZSHCI_HOST-IMDS_DO_NOT_MODIFY). Затем виртуальные машины должны иметь настроенный сетевой адаптер и присоединенный к той же vSwitch (AZSHCI_GUEST-IMDS_DO_NOT_MODIFY).

Примечание.

Изменение или удаление этого коммутатора и сетевого адаптера предотвращает правильную работу преимуществ Azure. Если возникают ошибки, отключите преимущества Azure с помощью Windows Admin Center или приведенных ниже инструкций PowerShell, а затем повторите попытку.
Рабочие нагрузки потребителей (например, гости Windows Server Azure Edition) запрашивают аттестацию. Затем HciSvc подписывает ответ с помощью сертификата Azure.

Примечание.

Необходимо вручную включить доступ для каждой виртуальной машины, требующей преимуществ Azure.

Включение преимуществ Azure

Перед началом работы проверьте следующие необходимые компоненты:

Кластер Azure Stack HCI:
- Установите обновления: версия 21H2, по крайней мере с обновлением системы безопасности 14 декабря 2021 г. KB5008223 или более поздней.
- Регистрация Azure Stack HCI: все серверы должны быть в сети и зарегистрированы в Azure.
- Установите Hyper-V и RSAT-Hyper-V-Tools.
Если вы используете Windows Admin Center:
- Windows Admin Center (версия 2103 или более поздняя) с расширением Cluster Manager (версия 2.41.0 или более поздней версии).

Вы можете включить преимущества Azure в Azure Stack HCI с помощью Центра администрирования Windows, PowerShell, Azure CLI или портал Azure. В следующих разделах описаны все варианты.

Примечание.

Чтобы успешно включить преимущества Azure на виртуальных машинах поколения 1, сначала необходимо отключить виртуальную машину, чтобы включить добавление сетевого адаптера.

Управление преимуществами Azure

В Windows Admin Center выберите Диспетчер кластеров в раскрывающемся меню, перейдите к кластеру, который требуется активировать, а затем в разделе "Параметры" выберите "Преимущества Azure".
В области "Преимущества Azure" выберите "Включить". По умолчанию установлен флажок для включения для всех существующих виртуальных машин. Вы можете отменить выбор и вручную добавить виртуальные машины позже.
Нажмите кнопку "Включить ", чтобы подтвердить настройку. Для отражения изменений может потребоваться несколько минут.
При успешной настройке преимуществ Azure страница обновляется для отображения панели мониторинга "Преимущества Azure". Чтобы проверить преимущества Azure для узла, выполните следующие действия.
1. Убедитесь, что состояние кластера "Преимущества Azure" отображается как "Включено".
2. На вкладке "Кластер" на панели мониторинга убедитесь, что преимущества Azure для каждого сервера отображаются как активные в таблице.
Чтобы проверить доступ к преимуществам Azure для виртуальных машин, проверьте состояние виртуальных машин с включенными преимуществами Azure. Рекомендуется включить все существующие виртуальные машины с преимуществами Azure; например, 3 из 3 виртуальных машин.

Снимок экрана: преимущества Azure в Windows Admin Center.

Чтобы настроить преимущества Azure, выполните следующую команду из окна PowerShell с повышенными привилегиями в кластере Azure Stack HCI:
```
Enable-AzStackHCIAttestation
```
Или, если вы хотите добавить все существующие виртуальные машины в настройке, можно выполнить следующую команду:
```
Enable-AzStackHCIAttestation -AddVM
```
При успешной настройке преимуществ Azure можно просмотреть состояние "Преимущества Azure". Проверьте аттестацию свойства IMDS кластера, выполнив следующую команду:
```
Get-AzureStackHCI
```
Чтобы просмотреть состояние преимуществ Azure для серверов, выполните следующую команду:
```
Get-AzureStackHCIAttestation [[-ComputerName] <string>]
```
Чтобы проверить доступ к преимуществам Azure для виртуальных машин, выполните следующую команду:
```
Get-AzStackHCIVMAttestation
```

Azure CLI доступна для установки в средах Windows, macOS и Linux. Его также можно запустить в Azure Cloud Shell. В этом документе описано, как использовать Bash в Azure Cloud Shell. Дополнительные сведения см . в кратком руководстве по Azure Cloud Shell.

Запустите Azure Cloud Shell и используйте Azure CLI для настройки преимуществ Azure, выполнив следующие действия.

Настройка параметров из подписки, группы ресурсов и имени кластера

subscription="00000000-0000-0000-0000-000000000000" # Replace with your subscription ID
resourceGroup="hcicluster-rg" # Replace with your resource group name
clusterName="HCICluster" # Replace with your cluster name

az account set --subscription "${subscription}"

Чтобы просмотреть состояние преимуществ Azure в кластере, выполните следующую команду:

az stack-hci cluster list \
--resource-group "${resourceGroup}" \
--query "[?name=='${clusterName}'].{Name:name, AzureBenefitsHostAttestation:reportedProperties.imdsAttestation}" \
-o table

Управление доступом к преимуществам Azure для виртуальных машин в Windows Admin Center

Чтобы включить преимущества Azure для виртуальных машин, перейдите на вкладку "Виртуальные машины ", а затем выберите виртуальные машины в верхней таблице без преимуществ Azure, а затем выберите "Включить преимущества Azure для виртуальных машин".

Снимок экрана: преимущества Azure для виртуальных машин.

Управление доступом к преимуществам Azure для виртуальных машин — Azure PowerShell

Чтобы включить преимущества для выбранных виртуальных машин, выполните следующую команду в кластере Azure Stack HCI:
```
Add-AzStackHCIVMAttestation [-VMName]
```
Чтобы добавить все существующие виртуальные машины, выполните следующую команду:
```
Add-AzStackHCIVMAttestation -AddAll
```
Кроме того, чтобы убедиться, что виртуальные машины могут получить доступ к преимуществам Azure на узле, выполните следующую команду на виртуальной машине:
```
Invoke-RestMethod -Headers @{"Metadata"="true"} -Method GET -Uri "http://169.254.169.253:80/metadata/attested/document?api-version=2018-10-01"
```

Устранение неполадок с помощью Windows Admin Center

Чтобы отключить и сбросить преимущества Azure в кластере, выполните следующие действия.
- На вкладке "Кластер" выберите "Отключить преимущества Azure".
Чтобы удалить доступ к преимуществам Azure для виртуальных машин, выполните следующие действия.
- На вкладке "Виртуальная машина" выберите виртуальные машины в верхней таблице без преимуществ Azure, а затем выберите "Включить преимущества Azure для виртуальных машин".
На вкладке "Кластер" один или несколько серверов отображаются как просроченные:
- Если преимущества Azure для одного или нескольких серверов не синхронизируются с Azure в течение более чем 30 дней, он отображается как истекший или неактивный. Выберите "Синхронизация с Azure ", чтобы запланировать синхронизацию вручную.
На вкладке "Виртуальная машина" преимущества сервера узла отображаются как неизвестные или неактивные:
- Вы не сможете добавлять или удалять преимущества Azure для виртуальных машин на этих серверах узлов. Перейдите на вкладку "Кластер ", чтобы исправить преимущества Azure для серверов узлов с ошибками, а затем повторите попытку управления виртуальными машинами.

Устранение неполадок с помощью PowerShell

Чтобы отключить и сбросить преимущества Azure в кластере, выполните следующую команду:
```
Disable-AzStackHCIAttestation -RemoveVM
```
Чтобы удалить доступ к преимуществам Azure для выбранных виртуальных машин, выполните следующие действия.
```
Remove-AzStackHCIVMAttestation -VMName <string>
```
Кроме того, чтобы удалить доступ ко всем существующим виртуальным машинам, выполните приведенные действия.
```
Remove-AzStackHCIVMAttestation -RemoveAll
```
Если преимущества Azure для одного или нескольких серверов еще не синхронизированы и обновлены с Azure, он может отображаться как истекший или неактивный. Планирование синхронизации вручную:
```
Sync-AzureStackHCI
```
Если сервер добавлен и еще не настроен с помощью преимуществ Azure, он может отображаться как неактивный. Чтобы добавить новый сервер, запустите программу установки еще раз:
```
Enable-AzStackHCIAttestation
```

Вопросы и ответы

В этой статье приведены ответы на некоторые вопросы об использовании преимуществ Azure.

Какие эксклюзивные рабочие нагрузки Azure можно включить с помощью преимуществ Azure?

Ознакомьтесь с полным списком здесь.

Стоит ли что-нибудь включить преимущества Azure?

Нет, включение преимуществ Azure не несет дополнительных сборов.

Можно ли использовать преимущества Azure в средах, отличных от Azure Stack HCI?

Нет, преимущества Azure — это функция, встроенная в ОС Azure Stack HCI, и ее можно использовать только в Azure Stack HCI.

Я настроил преимущества Azure в кластере. Разделы справки убедитесь, что преимущества Azure остаются активными?

В большинстве случаев не требуется никаких действий пользователя. Azure Stack HCI автоматически обновляет преимущества Azure при синхронизации с Azure.
Однако если кластер отключается более 30 дней и преимущества Azure отображаются как истекшие срок действия, можно вручную синхронизировать с помощью PowerShell и Windows Admin Center. Дополнительные сведения см. в разделе синхронизации Azure Stack HCI.

Что происходит при развертывании новых виртуальных машин или удалении виртуальных машин?

При развертывании новых виртуальных машин, требующих преимуществ Azure, вы можете вручную добавить новые виртуальные машины для доступа к преимуществам Azure с помощью Windows Admin Center или PowerShell, используя приведенные выше инструкции.
Вы по-прежнему можете удалять и переносить виртуальные машины как обычно. Сетевой адаптер AZSHCI_GUEST-IMDS_DO_NOT_MODIFY по-прежнему будет существовать на виртуальной машине после миграции. Чтобы очистить сетевой адаптер перед миграцией, вы можете удалить виртуальные машины из преимуществ Azure с помощью Центра администрирования Windows или PowerShell, используя приведенные выше инструкции, или сначала перенести и вручную удалить сетевые адаптеры.

Что происходит при добавлении или удалении серверов?

При добавлении сервера можно перейти на страницу "Преимущества Azure" в Windows Admin Center, а баннер появится со ссылкой на включение неактивного сервера.
Кроме того, можно запустить Enable-AzStackHCIAttestation [[-ComputerName] <String>] в PowerShell.
Вы по-прежнему можете удалить серверы или удалить их из кластера как обычно. VSwitch AZSHCI_HOST-IMDS_DO_NOT_MODIFY по-прежнему будет существовать на сервере после удаления из кластера. Вы можете оставить его, если вы планируете добавить сервер обратно в кластер позже или удалить его вручную.

Поделиться через