Обновление существующих виртуальных машин Azure 1-го поколения до доверенного запуска

Область применения: ✔️ Виртуальная машина Linux ✔️ Виртуальная машина Windows ✔️ Виртуальная машина поколения 1

Виртуальные машины Azure поддерживают обновление виртуальных машин поколения 1 до поколения 2 путем обновления до типа безопасности доверенного запуска .

Доверенный запуск — это способ обеспечить базовую безопасность вычислений на Azure поколения 2 виртуальных машинах и защищает от сложных и постоянных атак, таких как буткиты и руткиты. Это делается путем объединения технологий инфраструктуры, таких как безопасная загрузка, виртуальный доверенный платформенный модуль (vTPM) и мониторинг целостности загрузки на виртуальной машине.

Note

Поддержка обновления виртуальных машин 1-го поколения до 2-го поколения без включения доверенного запускане поддерживается.

Prerequisites

Виртуальная машина Azure настроена следующим образом:
- Доверенный запуск поддерживает семейство размеров.
- Поддерживаемая версия поддерживаемой операционной системы (ОС) доверенного запуска (за исключением Windows Server 2016, Debian, Azure Linux). Для пользовательских образов ОС или дисков базовый образ должен быть доверенным, поддерживающий запуск.
Виртуальная машина Azure в настоящее время не поддерживает функции доверенного запуска.
При включении Azure Backup для виртуальных машин следует настроить с помощью политики расширенного резервного копирования. Тип безопасности "доверенный запуск" не может быть включен для виртуальных машин, настроенных с защитой резервного копирования политики Standard.
- Существующую резервную копию виртуальной машины Azure можно перенести из категории "Стандартный " в расширенную политику. Выполните действия, описанные в статье "Миграция резервных копий виртуальных машин Azure" из категории "Стандартный" в расширенную политику.
Обновите тестовую виртуальную машину 1-го поколения до доверенного запуска и определите, необходимы ли какие-либо изменения для соответствия предварительным требованиям перед обновлением виртуальных машин поколения 1-го поколения, связанных с рабочими нагрузками до доверенного запуска.
Отключите любое шифрование тома ОС Windows, включая BitLocker перед обновлением, если он включен. Все шифрования томов ОС Windows должны быть повторно включены после успешного обновления. Это действие не требуется для дисков данных или тома ОС Linux.

Неподдерживаемые конфигурации виртуальных машин 1-го поколения

Обновление виртуальной машины 1-го поколения до уровня доверенного запуска не поддерживается, если виртуальная машина 1-го поколения настроена следующим образом:

Операционная система: Windows Server 2016, Azure Linux, Debian и любая другая операционная система, не указанная в поддерживаемой версии поддерживаемой операционной системы (ОС). Только для Windows Server 2016 обходной путь — обновление гостевой ОС до Windows Server 2019 или 2022.
Размер виртуальной машины: виртуальная машина 1-го поколения, настроенная с размером виртуальной машины, не указанная в списках поддерживаемых семейств поддерживаемых размеров доверенных запусков. В качестве обходного решения обновите размер виртуальной машины до поддерживаемого семейства поддерживаемых размеров виртуальной машины доверенного запуска.
Azure Backup: виртуальная машина 1-го поколения, настроенная с помощью Azure Backup с помощью стандартной политики. В качестве обходного решения перенос резервных копий виртуальных машин 1-го поколения из категории "Стандартный" в расширенную политику.
BitLocker или эквивалентное шифрование: том гостевой ОС виртуальной машины Windows 1-го поколения шифруется с помощью BitLocker или эквивалентной технологии шифрования. В качестве обходного решения отключите шифрование томов ОС Windows перед обновлением и повторно включите после успешного завершения обновления доверенного запуска.

Лучшие практики

Important

Виртуальная машина после обновления до доверенного запуска не может быть откатена до конфигурации 1-го поколения. Перед обновлением его необходимо полностью восстановить с помощью резервного копирования.

Создание полной резервной копии Или создайте точки восстановления для виртуальных машин Azure, связанных с рабочими нагрузками, перед включением типа безопасности доверенного запуска. Точки резервного копирования ИЛИ восстановления можно использовать для повторного создания дисков и виртуальной машины с известным состоянием предыдущей конфигурации 1-го поколения.
Изучите известные проблемы и проверьте шаги отката перед выполнением обновления доверенного запуска.
После обновления вы не сможете расширить том MBR to GPT conversion операционной системы ОС Windows. Рекомендуется расширить системный том для будущего перед обновлением до доверенного запуска.
Том диска ОС Windows должен быть дефрагментирован с помощью команды Defrag C: /U /V. Дефрагментация тома ОС снижает риск сбоя преобразования MBR (главной загрузочной записи) до сбоя преобразования GPT (таблица секций GUID), освобождая конечные части секций. См. дефрагментацию.
Для виртуальных машин Linux проверьте совместимость безопасной загрузки с помощью SBInfo средства. Ознакомьтесь с доверенной загрузкой и проверкой защищенного старта Linux для команд установки на основе SBInfo дистрибутива.

Обновление тома гостевой ОС

Поколение 2 Для виртуальных машин требуется том гостевой ОС со следующими конфигурациями:

Макет диска GPT: том гостевой ОС виртуальных машин 1-го поколения в основном установлен MBR и требуется обновить до GPT
Системный раздел EFI: том гостевой ОС виртуальных машин 1-го поколения в основном не включает этот раздел.

Завершите обновление тома ОС с требуемой конфигурацией перед обновлением виртуальной машины Azure 1-го поколения до доверенного запуска.

Important

Обновите тестовую виртуальную машину 1-го поколения до доверенного запуска и определите, необходимы ли какие-либо изменения для соответствия предварительным требованиям перед обновлением виртуальных машин поколения 1-го поколения, связанных с рабочими нагрузками до доверенного запуска.

Windows
Linux

С помощью встроенной программы MBR2GPT.exe можно активировать GPT разметку диска и добавить EFI system partition компоненты, необходимые для обновления второго поколения.

Caution

После MBR to GPT conversion вы не сможете расширить том системы дисков Windows OS. Рекомендуется расширить системный том для будущего перед выполнением обновления.

Note

Windows Server 2016 не поддерживает MBR2GPT.exe. Обходной путь — обновление гостевой ОС до Windows Server 2019 или 2022 и последующее MBR to GPT conversion. Ознакомьтесь с обновлением на месте для виртуальных машин под управлением Windows Server в Azure.

Удаленное подключение (с помощью RDP или командной строки) к виртуальной машине Windows 1-го поколения для выполнения преобразования.
Выполните команду MBR2GPT /validate /allowFullOS и убедитесь, что Disk layout validation выполнено успешно. Не продолжайте работу , если сбой Disk layout validation . Обратитесь к известным проблемам за списком распространенных причин и возможных решений неисправностей. Дополнительные сведения и рекомендации по устранению неполадок см. в руководстве по устранению неполадок MBR2GPT.

Выполните команду MBR2GPT /convert /allowFullOS , чтобы выполнить преобразование MBR в GPT. Пример успешных выходных данных:

If conversion is successful the disk can only be booted in GPT mode.
These changes cannot be undone!

MBR2GPT: Attempting to convert disk 0
MBR2GPT: Retrieving layout of disk
MBR2GPT: Validating layout, disk sector size is: 512 bytes
MBR2GPT: Trying to shrink the OS partition
MBR2GPT: Creating the EFI system partition
MBR2GPT: Installing the new boot files
MBR2GPT: Performing the layout conversion
MBR2GPT: Migrating default boot entry
MBR2GPT: Adding recovery boot entry
MBR2GPT: Fixing drive letter mapping
MBR2GPT: Conversion completed successfully
MBR2GPT: Before the new system can boot properly you need to switch the firmware to boot to UEFI mode!

Important

Обновление существующих виртуальных машин Linux 1-го поколения до доверенного запуска поддерживается только для виртуальных машин, созданных с помощью поддерживаемых образов ОС, опубликованных в Azure Marketplace (за исключением Debian, Azure Linux).

Виртуальные машины Azure 1-го поколения на основе Linux, созданные с использованием утвержденных дистрибутивов (Canonical, RHEL, SUSE), опубликованных в Azure Marketplace, не требуют каких-либо изменений в объеме хранения гостевой ОС. То есть у них уже есть GPT макет диска и EFI system partition настроен. Для других виртуальных машин Linux 1-го поколения Azure, требующих поддержки этого обновления, включая Azure Linux и Debian, отправьте регистрацию в Linux 1-го поколения в поддержку доверенного запуска обновления.

Проверьте готовность гостевой ОС к обновлению доверенного запуска с помощью следующих команд. Не продолжайте обновление Trusted Launch, если какой-либо из этапов проверки не прошел.

SSH или удаленно подключитесь к виртуальной машине Linux 1-го поколения для выполнения команд проверки.
Определите загрузочное устройство и сохраните его в переменной.
bootDevice=$(echo "/dev/$(sudo lsblk -no pkname $(sudo df /boot | awk 'NR==2 {print $1}'))")
Проверьте тип диска загрузочного устройства. Выходные данные команды должны возвращать gpt.
sudo blkid $bootDevice -o value -s PTTYPE
EFI system partition Проверка доступности тома загрузки. Выходные данные команды должны возвращать определенную секцию, например \dev\sda3.
sudo fdisk -l $bootDevice | grep EFI | awk '{print $1}'
Проверка точки подключения EFI настроена. Выходные данные команды должны возвращать /boot/efi present in /etc/fstab
sudo grep -qs '/boot/efi' /etc/fstab && echo '/boot/efi present in /etc/fstab' || echo '/boot/efi missing in /etc/fstab'

Обновление виртуальной машины 1-го поколения до доверенного запуска

Note

VTPM включен по умолчанию.
Безопасная загрузка по умолчанию не включена. Настоятельно рекомендуется включить безопасную загрузку, если вы не используете пользовательское неподписанное ядро или драйверы. Безопасная загрузка сохраняет целостность загрузки и обеспечивает базовую безопасность для виртуальных машин.

Убедитесь, что вы установили последнюю версию Azure PowerShell и войдите в учетную запись Azure, используя Connect-AzAccount.

Выполните действия, чтобы обновить существующую виртуальную машину 1-го поколения до 2-го поколения и включить доверенный запуск с помощью Azure PowerShell.

Войдите в подписку Azure виртуальной машины.
```
Connect-AzAccount -SubscriptionId 00000000-0000-0000-0000-000000000000
```

Освободите виртуальную машину.

Stop-AzVM -ResourceGroupName myResourceGroup -Name myVm

Включите доверенный запуск, установив для -SecurityTypeпараметра TrustedLaunch значение .

Get-AzVM -ResourceGroupName myResourceGroup -VMName myVm `
    | Update-AzVM -SecurityType TrustedLaunch `
        -EnableSecureBoot $true -EnableVtpm $true

Проверьте securityProfile в обновленной конфигурации виртуальной машины.

# Following command output should be `TrustedLaunch`

(Get-AzVM -ResourceGroupName myResourceGroup -VMName myVm `
    | Select-Object -Property SecurityProfile `
        -ExpandProperty SecurityProfile).SecurityProfile.SecurityType

# Following command output should return `SecureBoot` and `vTPM` settings
(Get-AzVM -ResourceGroupName myResourceGroup -VMName myVm `
    | Select-Object -Property SecurityProfile `
        -ExpandProperty SecurityProfile).SecurityProfile.Uefisettings

Запустите виртуальную машину.

Start-AzVM -ResourceGroupName myResourceGroup -Name myVm

Запустите обновленную виртуальную машину доверенного запуска. Убедитесь, что вы можете войти на виртуальную машину с помощью RDP (для виртуальных машин Windows) или SSH (для виртуальных машин Linux).

Выполните действия, чтобы обновить существующую виртуальную машину 1-го поколения до 2-го поколения и включить доверенный запуск с помощью Azure CLI.

Убедитесь, что вы установили последнюю версию Azure CLI и выполнили вход в учетную запись Azure, используя az login.

Войдите в подписку Azure виртуальной машины.

az login

az account set --subscription 00000000-0000-0000-0000-000000000000

Освободите виртуальную машину.

az vm deallocate \
   --resource-group myResourceGroup --name myVm

Включите доверенный запуск, установив для --security-typeпараметра TrustedLaunch значение .

az vm update \
    --resource-group myResourceGroup --name myVm \
    --security-type TrustedLaunch \
    --enable-secure-boot true --enable-vtpm true

Проверьте выходные данные предыдущей команды. Убедитесь, что securityProfile конфигурация возвращается с выходными данными команды.
```
{
  "securityProfile": {
    "securityType": "TrustedLaunch",
    "uefiSettings": {
      "secureBootEnabled": true,
      "vTpmEnabled": true
    }
  }
}
```

Запустите виртуальную машину.

az vm start \
    --resource-group myResourceGroup --name myVm

Запустите обновленную виртуальную машину доверенного запуска. Убедитесь, что вы можете войти на виртуальную машину с помощью RDP (для виртуальных машин Windows) или SSH (для виртуальных машин Linux).

Выполните действия, чтобы включить доверенный запуск на существующей виртуальной машине Поколения 2 Azure с помощью шаблона ARM.

Шаблон Azure Resource Manager — это файл нотации объектов JavaScript (JSON), который определяет инфраструктуру и конфигурацию проекта. В шаблоне используется декларативный синтаксис. Вы описываете предполагаемое развертывание без написания последовательности команд программирования для создания развертывания.

Изучите шаблон.

{
    "$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentTemplate.json#",
    "contentVersion": "1.0.0.0",
    "parameters": {
        "vmsToUpgrade": {
            "type": "object",
            "metadata": {
                "description": "Specifies the list of Azure virtual machines to be upgraded to Trusted launch."
            }
        },
        "vTpmEnabled": {
            "type": "bool",
            "defaultValue": true,
            "metadata": {
                "description": "Specifies whether vTPM should be enabled on the virtual machine."
            }
        }
    },
    "resources": [
        {
            "type": "Microsoft.Compute/virtualMachines",
            "apiVersion": "2022-11-01",
            "name": "[parameters('vmsToUpgrade').virtualMachines[copyIndex()].vmName]",
            "location": "[parameters('vmsToUpgrade').virtualMachines[copyIndex()].location]",
            "properties": {
                "securityProfile": {
                    "uefiSettings": {
                        "secureBootEnabled": "[parameters('vmsToUpgrade').virtualMachines[copyIndex()].secureBootEnabled]",
                        "vTpmEnabled": "[parameters('vTpmEnabled')]"
                    },
                    "securityType": "TrustedLaunch"
                }
            },
            "copy": {
                "name": "vmCopy",
                "count": "[length(parameters('vmsToUpgrade').virtualMachines)]"
            }
        }
    ]
}

Измените parameters JSON-файл с виртуальными машинами, которые будут обновлены с TrustedLaunch помощью типа безопасности.

{
    "$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentParameters.json#",
    "contentVersion": "1.0.0.0",
    "parameters": {
        "vmsToUpgrade": {
            "value": {
                "virtualMachines": [
                    {
                        "vmName": "myVm01",
                        "location": "westus3",
                        "secureBootEnabled": true
                    },
                    {
                        "vmName": "myVm02",
                        "location": "westus3",
                        "secureBootEnabled": true
                    }
                ]
            }
        }
    }
}

Определение файла параметров

Property	Описание свойства	Пример значения в шаблоне
vmName	Имя виртуальной машины Azure.	`myVm`
location	Расположение виртуальной машины Azure.	`westus3`
secureBootEnabled	Включите безопасную загрузку с помощью типа безопасности доверенного запуска.	`true`

Отмените обновление всех виртуальных машин Azure.
```
Stop-AzVM -ResourceGroupName myResourceGroup -Name myVm01
```

Запустите развертывание шаблона ARM.

$resourceGroupName = "myResourceGroup"
$parameterFile = "folderPathToFile\parameters.json"
$templateFile = "folderPathToFile\template.json"

New-AzResourceGroupDeployment `
    -ResourceGroupName $resourceGroupName `
    -TemplateFile $templateFile -TemplateParameterFile $parameterFile

Снимок экрана: свойства доверенного запуска виртуальной машины.

Запустите обновленную виртуальную машину доверенного запуска. Убедитесь, что вы можете войти на виртуальную машину с помощью RDP (для виртуальных машин Windows) или SSH (для виртуальных машин Linux).

Откат

После обновления виртуальной машины Azure до доверенного запуска невозможно выполнить откат до конфигурации 1-го поколения. Вы можете отключить доверенный запуск для отката виртуальной машины от доверенного запуска до конфигурации 2-го поколения (ненадежного запуска).

Используйте точку резервного копирования или восстановления виртуальной машины поколения 1-го поколения перед обновлением и восстановлением всей виртуальной машины вместе с дисками, чтобы полностью выполнить откат к виртуальной машине 1-го поколения.

Известные проблемы

Ссылка на образ виртуальной машины не изменяет после обновления доверенного запуска

После обновления виртуальной машины Azure 1-го поколения до доверенного запуска ссылка на образ по-прежнему отражает источник в качестве образа ОС 1-го поколения. Необновлённая ссылка на изображение является известным ограничением.

Это ограничение не влияет на функциональность виртуальной машины или размещенного приложения после обновления доверенного запуска. Следующие операции виртуальной машины затронуты из-за разрыва между ссылкой на образ и запущенной операционной системой.

Патчинг гостевой системы: Для ОС сервера автоматический патчинг гостевой системы выполняется на основе образа виртуальной машины.
Повторное создание образа. Повторное создание виртуальной машины с использованием эталонного образа 1-го поколения при обновлении доверенного запуска приводит к сбою загрузки виртуальной машины.

Сбой загрузки Windows 11 после обновления доверенного запуска виртуальной машины Windows 10

Виртуальная машина Windows 10 1-го поколения успешно обновлена до доверенного запуска, а затем успешного обновления Windows 11 на месте. Однако загрузка Windows 11 завершается сбоем после остановки виртуальной машины Azure и начала работы с ошибкой.

Решение: Эта проблема устранена с версией 26100.2314 сборки 24H2 и версией 22631.5624 сборки 23H2.

Снимок экрана: сбой загрузки виртуальной машины Windows Azure.

Note

Обновление может завершиться ошибкой, если вы используете устаревший установочный носитель Windows 11. Чтобы избежать этой проблемы, убедитесь, что вы используете последний образ Windows 11. Вы можете скачать последнюю версию ISO на странице загрузки программного обеспечения Майкрософт. Если у вас есть соглашение о корпоративном лицензировании, используйте Центр администрирования Microsoft 365 для доступа к обновленным образам Windows 11.

[Windows] Преобразование MBR в GPT завершается сбоем с ошибкой "Не удается найти место" для системного раздела EFI

Эта ошибка возникает по одной из следующих причин:

Свободного места на системном томе нет.
Системный том поврежден. Вы можете проверить, пытаясь уменьшить том на несколько MOB в консоли управления дисками. Используйте команду chkdsk C:/v/f для восстановления системного тома.
Virtual Disk служба не выполняется или не может успешно взаимодействовать. Тип запуска службы должен иметь значение Manual.
Optimize Drives служба не выполняется или не может успешно взаимодействовать. Тип запуска службы должен иметь значение Manual.
Диск тома системы уже настроен с четырьмя секциями MBR (максимум, поддерживаемый макетом диска MBR). Необходимо удалить одну из секций, чтобы освободить место для системного раздела EFI.
1. Выполните команду ReAgentc /info , чтобы определить секцию, активно используемую восстановлением. Пример: Windows RE location: \\?\GLOBALROOT\device\harddisk0\partition4\Recovery\WindowsRE
2. Запустите командлет PowerShell Get-Partition -DiskNumber 0, чтобы определить текущие настроенные разделы.
3. Запустите командлет Remove-Partition -DiskNumber 0 -PartitionNumber X PowerShell, чтобы удалить любую дополнительную секцию восстановления, которая не используется службой восстановления, как описано на шаге 1.

[Windows] Не удалось обновить ReAgent.xml MBR на GPT

Для некоторых версий ОС Windows, таких как Windows 10, MBR2GPT создает ошибку сквозной передачи MBR2GPT: Failed to update ReAgent.xml, please try to manually disable and enable WinRE.

Предупреждение указывает, что MBR2GPT.exe не удалось обновить GUID секции восстановления в C:\Windows\System32\Recovery\ReAgent.xml. Эта проблема не должна вызывать проблемы с функциональными возможностями гостевой ОС или дальнейшими операциями обновления, такими как обновление Windows 11 для успешного выполнения или Windows 11 для правильной работы после обновления. ReAgent.xml обновляется с правильной версией GUID после обновления Windows 11, то есть если вы не выполняете никаких действий между преобразованием MBR2GPT и обновлением Windows 11, значение ReAgent.xml GUID синхронизируется с конфигурацией восстановления Windows.

Чтобы исправить предупреждение вручную, вы можете отключить и повторно включить преобразование winRE после MBR2GPT или после обновления 1-го поколения в доверенный запуск до обновления Windows 11 с помощью перечисленных действий, эти шаги принудительно синхронизируют GUID WinRE в ReAgent.xml

Завершение обновления доверенного запуска 1-го> поколения.
Выполнить reagentc /disable
Выполнить reagentc /enable
Выполнить reagentc /info
Открытие C:\Windows\System32\Recovery\ReAgent.xml и проверка GUID BCD в XML-файле соответствует выходным данным шага 4.

[Windows] Диск D, назначенный обновлению системы зарезервированной записи

Назначение временного диска хранилища "D" изменяется на "E" с предыдущей буквой, назначенной системной зарезервированной после обновления виртуальной машины 1-го поколения. Выполните следующие действия вручную после обновления, чтобы обойти проблему:

После обновления проверьте диски на сервере, если в системной зарезервированной секции есть буква D, выполните следующие действия:

Перенастройка файла страницы с D: на C:
Перезагрузка виртуальной машины
Удаление буквы D: из раздела
Перезагрузите виртуальную машину, чтобы отобразить временный диск хранилища с буквой D:

Часто задаваемые вопросы

Что делать, если виртуальные машины поколения 1 не соответствуют предварительным требованиям для доверенного запуска?

Для виртуальной машины поколения 1, которая не соответствует предварительным требованиям для обновления до доверенного запуска, посмотрите, как выполнить предварительные требования. Например, если размер виртуальной машины не поддерживается, найдите эквивалентный поддерживаемый размер доверенного запуска, поддерживающий доверенный запуск.

Почему обновление до поколения 2 (только без доверенного запуска) не поддерживается?

Доверенный запуск обеспечивает базовую безопасность вычислений на виртуальных машинах поколения 2 Azure без дополнительных затрат. Кроме того, доверенные виртуальные машины запуска значительно связаны с четностью виртуальных машин поколения 2. Таким образом, нет дополнительных преимуществ для обновления только до виртуальной машины поколения 2 без включения доверенного запуска.

Сведения о развертывании доверенных виртуальных машин запуска для включения доверенного запуска на новых виртуальных машинах и развертываниях масштабируемых наборов.
Обратитесь к мониторингу целостности загрузки, чтобы включить мониторинг целостности загрузки и отслеживать работоспособность виртуальной машины с помощью Microsoft Defender для облака.
Узнайте больше о доверенном запуске и ознакомьтесь с часто задаваемыми вопросами.

Обратная связь

Были ли сведения на этой странице полезными?

Last updated on 2025-02-25

Поделиться через

Обновление существующих виртуальных машин Azure 1-го поколения до доверенного запуска

Prerequisites

Неподдерживаемые конфигурации виртуальных машин 1-го поколения

Лучшие практики

Обновление тома гостевой ОС

Обновление виртуальной машины 1-го поколения до доверенного запуска

Откат

Известные проблемы

Ссылка на образ виртуальной машины не изменяет после обновления доверенного запуска

Сбой загрузки Windows 11 после обновления доверенного запуска виртуальной машины Windows 10

[Windows] Преобразование MBR в GPT завершается сбоем с ошибкой "Не удается найти место" для системного раздела EFI

[Windows] Не удалось обновить ReAgent.xml MBR на GPT

[Windows] Диск D, назначенный обновлению системы зарезервированной записи

Часто задаваемые вопросы

Связанный контент

Обратная связь

Дополнительные ресурсы