Azure Stack HCI 版本 23H2 上 Azure Arc VM 的受信任啟動簡介
適用於:Azure Stack HCI 版本 23H2
本文介紹 Azure Stack HCI 23H2 版上 Azure Arc 虛擬機 (VM) 的信任啟動。 您可以使用 Azure 入口網站 或使用 Azure 命令列介面 (CLI) 建立受信任的啟動 Arc VM。
簡介
當 VM 在叢集內移轉或故障轉移時,Azure Arc VM 的信任啟動支援安全開機、虛擬信任平臺模組 (vTPM) 和 vTPM 狀態傳輸。
受信任的啟動是可在 Azure Stack HCI 上建立 Arc VM 時指定的安全性類型。 如需詳細資訊,請參閱 Azure Stack HCI 上 Azure Arc VM 的信任啟動。
功能和優點
| 功能 | 優點 |
|---|---|
| 安全開機 | 藉由確認受信任發行者已簽署開機組件,協助降低開機期間惡意代碼 (rootkits) 的風險。 |
| vTPM | 虛擬版本的硬體 TPM,可作為密鑰、憑證和秘密的專用保存庫。 |
| vTPM 狀態傳輸 | 當 VM 在叢集內移轉或故障轉移時,保留 vTPM。 |
| 虛擬化型安全性 (VBS) | VM 中的客體可以使用 VBS 支援來建立記憶體的隔離區域。 |
注意
VM 客體開機完整性驗證無法使用。
指引
IgvmAgent 是安裝在 Azure Stack HCI 叢集中所有節點上的元件。 它可支援隔離的 VM,例如受信任的啟動 Arc VM。
作為受信任啟動 Arc VM 建立的一部分,Hyper-V 會在磁碟上建立 VM 檔案來儲存 VM 狀態。 根據預設,這些 VM 檔案的存取僅限於主機伺服器管理員。 主機系統管理員必須確保儲存這些 VM 檔案的位置一律會保持適當的存取限制。
VM 實時移轉網路流量不會加密。 強烈建議您啟用網路層加密技術,例如 IPsec 來保護即時移轉網路流量。
客體作業系統映像
支持來自 Azure Marketplace 的下列 VM 客體 OS 映射。 您可以使用 Azure 入口網站 或 Azure CLI 來建立 VM 映射。
如需詳細資訊,請參閱 使用 Azure Marketplace 建立 Azure Stack HCI VM 映射。
| 名稱 | 發行者 | 供應項目 | SKU | 版本號碼 |
|---|---|---|---|---|
| Windows 11 企業版 多會話版本 22H2 - Gen2 | microsoftwindowsdesktop | windows-11 | win11-22h2-avd | 22621.2428.231001 |
| Windows 11 企業版 多會話版本 22H2 + Microsoft 365 Apps (預覽) - Gen2 | microsoftwindowsdesktop | windows11preview | win11-22h2-avd-m365 | 22621.382.220810 |
| Windows 11 企業版 多會話版本 21H2 - Gen2 | microsoftwindowsdesktop | windows-11 | win11-21h2-avd | 22000.2538.231001 |
| Windows 11 企業版 多會話版本 21H2 + Microsoft 365 Apps - Gen2 | microsoftwindowsdesktop | office-365 | win10-21h2-avd-m365-g2 | 19044.3570.231010 |
注意
不支援在 Azure Marketplace 外部取得的 VM 客體映像。