Azure Stack HCI 上的 Azure 权益
适用于:Azure Stack HCI 版本 22H2
Azure 提供了一系列设计为仅在 Azure 上运行的差异化工作负载和功能。 Azure Stack HCI 扩展从 Azure 获取的许多相同权益,同时在熟悉的相同高性能本地或边缘环境中运行。
Azure 权益使受支持的 Azure 专用工作负载可在云外部工作。 你可以在 Azure Stack HCI 上启用 Azure 权益,无需额外成本。 如果已有 Windows Server 工作负载,建议启用它。
Azure Stack HCI 上的可用 Azure 权益
开启 Azure 权益后,可以在 Azure Stack HCI 上使用这些 Azure 专用工作负载:
工作负荷 | 支持的版本 | 项目内容 |
---|---|---|
Windows Server Datacenter:Azure Edition | 2022 版或更高版本 | 仅限 Azure 的来宾操作系统,包括所有最新 Windows 服务器创新和其他专用功能。 |
扩展安全更新 (ESU) | 2021 年 10 月 12 日安全更新或更高版本 | 一种程序,使客户可以在 Azure Stack HCI 上运行时,继续获取终止支持的 SQL Server 和 Windows 服务器 VM 的安全更新(现在免费)。 有关详细信息,请参阅 Azure Stack HCI 上的扩展安全更新 (ESU)。 |
Azure Policy 来宾配置 | Arc 代理版本 1.13 或更高版本 | 对主机和来宾计算机而言,一种可作为代码审核或配置操作系统设置的功能。 了解详细信息:了解 Azure Policy 的来宾配置功能 |
工作原理
本部分是可选阅读内容,详细介绍了 HCI 上的 Azure 权益在幕后的工作方式。
Azure 权益是 Azure Stack HCI 上的内置平台证明服务,可帮助保证 VM 确实在 Azure 环境中运行。
该服务按照在 Azure 中运行的相同 IMDS 证明 服务进行建模,以便实现在 Azure 中向客户提供的一些相同工作负载和权益。 Azure 权益返回几乎相同的有效负载。 主要区别在于,它在本地运行,因此可保证 VM 在 Azure Stack HCI 上运行,而不是在 Azure 上运行。
开启 Azure 权益会启动在 Azure Stack HCI 群集上运行的服务:
在每个服务器上,HciSvc 都从 Azure 获取证书,并将其安全地存储在服务器上的 enclave 中。
注意
Azure Stack HCI 群集每次与 Azure 同步时,都会续订证书,每次续订的有效期为 30 天。 只要为 Azure Stack HCI 维持正常的 30 天连接要求,便无需用户执行任何操作。
HciSvc 会公开不可路由的专用 REST 终结点,只能供同一服务器上的 VM 访问。 若要启用此终结点,请在 Azure Stack HCI 主机上配置一个内部 vSwitch(名为 AZSHCI_HOST-IMDS_DO_NOT_MODIFY)。 VM 随后必须配置 NIC 并将它附加到同一 vSwitch (AZSHCI_GUEST-IMDS_DO_NOT_MODIFY)。
注意
修改或删除此交换机和 NIC 会阻止 Azure 权益正常工作。 如果发生错误,请按照后面的说明使用 Windows Admin Center 或 PowerShell 禁用 Azure 权益,然后重试。
使用者工作负载(例如 Windows Server Azure Edition 来宾)会请求证明。 HciSvc 随后使用 Azure 证书对响应进行签名。
注意
必须为需要 Azure 权益的每个 VM 手动启用访问权限。
启用 Azure 权益
在开始之前,需要符合以下先决条件:
Azure Stack HCI 群集:
- 安装更新:版本 21H2,至少包含 2021 年 12 月 14 日安全更新 KB5008223 或更高版本。
- 注册 Azure Stack HCI:所有服务器都必须在线并注册到 Azure。
- 安装 Hyper-V 和 RSAT-Hyper-V-Tools。
如果使用 Windows Admin Center:
- 带有群集管理器扩展(2.41.0 或更高版本)的 Windows Admin Center(2103 或更高版本)。
可使用 Windows Admin Center、PowerShell、Azure CLI 或 Azure 门户启用 Azure Stack HCI 上的 Azure 权益。 以下部分详细介绍了每种选项。
注意
若要在第 1 代 VM 上成功启用 Azure 权益,必须先关闭 VM,才能添加 NIC。
管理 Azure 权益
在 Windows Admin Center 中,单击顶部的下拉菜单并选择“群集管理器”,导航到要激活的群集,然后在“设置”下选择“Azure 权益”。
在“Azure 权益”窗格中,选择“开启” 。 默认情况下,用于为所有现有 VM 开启的复选框处于选中状态。 可以取消选择它并在以后手动添加 VM。
再次选择“开启”以确认设置。 服务器可能需要几分钟的时间来反映更改。
Azure 权益设置成功后,页面会更新以显示“Azure 权益”仪表板。 检查主机的 Azure 权益:
- 检查“Azure 权益群集状态”是否显示为“开启” 。
- 在仪表板中的“群集”选项卡下,检查每个服务器的 Azure 权益是否在表中显示为“活动” 。
对 VM 检查 Azure 权益访问权限:检查开启了 Azure 权益的 VM 的状态。 建议所有现有 VM 都开启 Azure 权益;例如,3 个 VM 中的 3 个。
管理对 VM 的 Azure 权益的访问 - Windows Admin Center
若要为 VM 开启 Azure 权益,请选择“VM”选项卡,在顶部表“没有 Azure 权益的 VM”中选择 VM,然后选择“为 VM 开启 Azure 权益”。
对 VM 管理 Azure 权益访问权限 - Azure PowerShell
若要为所选 VM 开启权益,请在 Azure Stack HCI 群集上运行以下命令:
Add-AzStackHCIVMAttestation [-VMName]
或者,若要添加所有现有 VM,请运行以下命令:
Add-AzStackHCIVMAttestation -AddAll
可选,若要检查 VM 可以访问主机上的 Azure 权益,请在 VM 上运行以下命令:
Invoke-RestMethod -Headers @{"Metadata"="true"} -Method GET -Uri "http://169.254.169.253:80/metadata/attested/document?api-version=2018-10-01"
通过 Windows Admin Center 进行故障排除
- 若要对群集关闭并重置 Azure 权益,请执行以下操作:
- 在“群集”选项卡上,选择“关闭 Azure 权益”。
- 若要对 VM 移除 Azure 权益访问权限,请执行以下操作:
- 在“VM”选项卡上,在顶部表“没有 Azure 权益的 VM”中选择 VM,然后选择“为 VM 开启 Azure 权益”。
- 在“群集”选项卡下,一个或多个服务器显示为“已过期”:
- 如果一个或多个服务器的 Azure 权益超过 30 天未与 Azure 同步,则显示为“已过期”或“非活动”。 选择“与 Azure 同步”以计划手动同步。
- 在“VM”选项卡下,主机服务器权益显示为“未知”或“非活动”:
- 你将无法在这些主机服务器上为 VM 添加或移除 Azure 权益。 转到“群集”选项卡以修复出错主机服务器的 Azure 权益,然后再次尝试管理 VM。
通过 PowerShell 进行故障排除
若要在群集上关闭并重置 Azure 权益,请运行以下命令:
Disable-AzStackHCIAttestation -RemoveVM
若要对所选 VM 移除 Azure 权益访问权限,请执行以下操作:
Remove-AzStackHCIVMAttestation -VMName <string>
或者,若要移除所有现有 VM 的访问权限,请执行以下操作:
Remove-AzStackHCIVMAttestation -RemoveAll
如果一个或多个服务器的 Azure 权益尚未向 Azure 同步和续订,则可能显示为“已过期”或“非活动”。 计划手动同步:
Sync-AzureStackHCI
如果新添加了服务器,但尚未使用 Azure 权益进行设置,则它可能会显示为“非活动”。 若要添加新服务器,请再次运行设置:
Enable-AzStackHCIAttestation
常见问题
此常见问题解答提供有关使用 Azure 权益的一些问题的解答。
使用 Azure 权益可以实现哪些 Azure 专用工作负载?
请参阅此处的完整列表。
开启 Azure 权益是否需要付费?
否,开启 Azure 权益时不产生额外费用。
是否可以在 Azure Stack HCI 之外的环境中使用 Azure 权益?
不可以,Azure 权益是 Azure Stack HCI 操作系统中的内置功能,只能在 Azure Stack HCI 上使用。
我在群集上设置了 Azure 权益。 如何确保 Azure 权益保持活动状态?
- 在大多数情况下,不需要用户执行任何操作。 Azure Stack HCI 会在与 Azure 同步时自动续订 Azure 权益。
- 但是,如果群集断开连接的时间超过 30 天,并且 Azure 权益显示为“已过期”,则可以使用 PowerShell 和 Windows Admin Center 进行手动同步。 有关详细信息,请参阅同步 Azure Stack HCI。
部署新 VM 或删除 VM 时会发生什么情况?
- 部署需要 Azure 权益的新 VM 时,可以按照前面的说明,使用 Windows Admin Center 或 PowerShell 手动添加新 VM 以访问 Azure 权益。
- 仍可以像平常一样删除和迁移 VM。 迁移后,NIC AZSHCI_GUEST-IMDS_DO_NOT_MODIFY 仍会在 VM 上存在。 若要在迁移之前清理 NIC,可以使用前面的说明使用 Windows Admin Center 或 PowerShell 从 Azure 中移除 VM,也可以先迁移,之后手动删除 NIC。
添加或移除服务器时会发生什么情况?
- 添加服务器时,可以导航到 Windows Admin Center 中的“Azure 权益”页面,一个横幅会出现,其中包含用于“启用非活动服务器”的链接 。
- 或者,可以在 PowerShell 中运行
Enable-AzStackHCIAttestation [[-ComputerName] <String>]
。 - 仍可以像平常一样删除服务器或从群集中移除它们。 从群集中移除后,vSwitch AZSHCI_HOST-IMDS_DO_NOT_MODIFY 仍会在服务器上存在。 如果你打算以后将服务器添加回群集,可以保留该服务器,也可以手动删除。