Azure Stack HCI 上的 Azure Arc VM 受信任启动简介,版本 23H2
适用于:Azure Stack HCI 版本 23H2
本文介绍 Azure Stack HCI 版本 23H2 上 Azure Arc 虚拟机(VM)的受信任启动。 可以使用 Azure 门户 或使用 Azure 命令行接口 (CLI) 创建受信任的启动 Arc VM。
介绍
Azure Arc VM 的受信任启动支持在群集内迁移或故障转移 VM 时的安全启动、虚拟受信任的平台模块(vTPM)和 vTPM 状态传输。
受信任的启动是在 Azure Stack HCI 上创建 Arc VM 时可以指定的安全类型。 有关详细信息,请参阅 Azure Stack HCI 上的 Azure Arc VM 的受信任启动。
功能和优点
| 功能 | 好处 |
|---|---|
| 安全启动 | 通过验证受信任的发布者是否已对启动组件签名,帮助降低启动期间恶意软件(rootkit)的风险。 |
| vTPM | 硬件 TPM 的虚拟化版本,用作密钥、证书和机密的专用保管库。 |
| vTPM 状态传输 | 在 VM 迁移或故障转移群集中时保留 vTPM。 |
| 基于虚拟化的安全性 (VBS) | VM 中的来宾可以使用 VBS 支持创建独立内存区域。 |
注意
VM 来宾启动完整性验证不可用。
指南
IgvmAgent 是在 Azure Stack HCI 群集中的所有节点上安装的组件。 它支持独立 VM,例如受信任的启动 Arc VM。
在受信任的启动 Arc VM 创建过程中,Hyper-V 会在磁盘上创建 VM 文件以存储 VM 状态。 默认情况下,对这些 VM 文件的访问权限仅限于主机服务器管理员。 主机管理员必须确保存储这些 VM 文件的位置始终保持适当的访问限制。
VM 实时迁移网络流量未加密。 强烈建议启用网络层加密技术(如 IPsec),以保护实时迁移网络流量。
来宾操作系统映像
支持来自Azure 市场的以下 VM 来宾 OS 映像。 可以使用 Azure 门户 或 Azure CLI 创建 VM 映像。
有关详细信息,请参阅使用Azure 市场创建 Azure Stack HCI VM 映像。
| 名称 | Publisher | 产品 | SKU | 版本号 |
|---|---|---|---|---|
| Windows 11 企业版多会话版本 22H2 - Gen2 | microsoftwindowsdesktop | windows-11 | win11-22h2-avd | 22621.2428.231001 |
| Windows 11 企业版多会话版本 22H2 + Microsoft 365 应用版 (预览版) - Gen2 | microsoftwindowsdesktop | windows11preview | win11-22h2-avd-m365 | 22621.382.220810 |
| Windows 11 企业版多会话版本 21H2 - Gen2 | microsoftwindowsdesktop | windows-11 | win11-21h2-avd | 22000.2538.231001 |
| Windows 11 企业版多会话版本 21H2 + Microsoft 365 应用版 - Gen2 | microsoftwindowsdesktop | office-365 | win10-21h2-avd-m365-g2 | 19044.3570.231010 |
注意
不支持在Azure 市场外部获取的 VM 来宾映像。