(предварительная версия) Обновление существующих виртуальных машин Azure 1-го поколения до доверенного запуска

Статья
2025-02-25

Область применения: ✔️ виртуальная машина Linux для виртуальной машины ✔️ ✔️ Windows поколения 1

Azure Виртуальные машины поддерживает обновление виртуальных машин поколения 1 до поколения 2 путем обновления до типа безопасности доверенного запуска.

Доверенный запуск — это способ обеспечить базовую безопасность вычислительных вычислений на виртуальных машинах Поколения 2 Azure и защищает от расширенных и постоянных атак, таких как наборы загрузочных пакетов и корневые наборы. Это делается путем объединения технологий инфраструктуры, таких как безопасная загрузка, виртуальный доверенный платформенный модуль (vTPM) и мониторинг целостности загрузки на виртуальной машине.

Внимание

Поддержка обновления существующих виртуальных машин 1-го поколения до доверенного запуска в настоящее время находится в предварительной версии. Обновление виртуальных машин 1-го поколения до 2-го поколения без включения доверенного запуска не поддерживается.

Необходимые компоненты

Подписка подключена к предварительной версии функции Gen1ToTLMigrationPreview в пространстве Microsoft.Compute имен. Дополнительные сведения о настройке предварительных версий функций в подписке Azure
Виртуальная машина Azure настроена следующим образом:
- Доверенный запуск поддерживает семейство размеров.
- Поддерживаемая версия поддерживаемой операционной системы (ОС) доверенного запуска (за исключением Windows Server 2016, Debian, Azure Linux). Для пользовательских образов ОС или дисков базовый образ должен быть доверенным, поддерживающий запуск.
Виртуальная машина Azure в настоящее время не поддерживает функции доверенного запуска.
При включении Azure Backup для виртуальных машин следует настроить с помощью политики расширенного резервного копирования. Тип безопасности доверенного запуска не может быть включен для виртуальных машин, настроенных с помощью защиты резервного копирования политики "Стандартный".
- Существующую резервную копию виртуальной машины Azure можно перенести из категории "Стандартный" в расширенную политику. Выполните действия, описанные в статье "Миграция резервных копий виртуальных машин Azure" из категории "Стандартный" в расширенную политику (предварительная версия).
Обновите тестовую виртуальную машину 1-го поколения до доверенного запуска и определите, необходимы ли какие-либо изменения для соответствия предварительным требованиям перед обновлением виртуальных машин поколения 1-го поколения, связанных с рабочими нагрузками до доверенного запуска.
Отключите любое шифрование тома ОС Windows, включая BitLocker перед обновлением, если он включен. Все шифрования томов ОС Windows должны быть повторно включены после успешного обновления. Это действие не требуется для дисков данных или тома ОС Linux.

Неподдерживаемые конфигурации виртуальных машин 1-го поколения

Обновление виртуальной машины доверенного поколения до доверенного запуска не поддерживается, если виртуальная машина 1-го поколения настроена следующим образом:

Рабочие нагрузки. Предварительная версия функции должна использоваться только для тестирования, оценки и обратной связи. Рабочие нагрузки не рекомендуется.
Операционная система: Windows Server 2016, Azure Linux, Debian и любая другая операционная система, не указанная в поддерживаемой версии поддерживаемой операционной системы (ОС). Только для Windows Server 2016 обходной путь — обновление гостевой ОС до Windows Server 2019 или 2022.
Размер виртуальной машины: виртуальная машина 1-го поколения, настроенная с размером виртуальной машины, не указанная в списках поддерживаемых семейств поддерживаемых размеров доверенных запусков. В качестве обходного решения обновите размер виртуальной машины до поддерживаемого семейства поддерживаемых размеров виртуальной машины доверенного запуска.
Azure Backup: виртуальная машина 1-го поколения, настроенная с помощью Azure Backup с помощью стандартной политики. В качестве обходного решения перенос резервных копий виртуальных машин 1-го поколения из категории "Стандартный" в расширенную политику.
BitLocker или эквивалентное шифрование: том гостевой ОС виртуальной машины Windows 1-го поколения шифруется с помощью BitLocker или эквивалентной технологии шифрования. В качестве обходного решения отключите шифрование томов ОС Windows перед обновлением и повторно включите после успешного завершения обновления доверенного запуска.

Обновление тома гостевой ОС

Для виртуальных машин поколения 2 требуется том гостевой ОС со следующими конфигурациями:

Макет диска GPT: том гостевой ОС виртуальных машин 1-го поколения в основном установлен MBR и требуется обновить до GPT
Системный раздел EFI: том гостевой ОС виртуальных машин 1-го поколения в основном не включает этот раздел.

Завершите обновление тома ОС с требуемой конфигурацией перед обновлением виртуальной машины Azure 1-го поколения до доверенного запуска.

Внимание

Скрипт оркестрации на основе PowerShell публикуется в качестве руководства , который управляет всеми этапами обновления, включая проверку MBR2GPT для Windows и Linux и преобразование для ОС Windows. Скрипт руководства вместе с необходимой документацией можно получить в Azure 1-го поколения до репозитория GitHub для запуска 2-го поколения.
Обновите тестовую виртуальную машину 1-го поколения до доверенного запуска и определите, необходимы ли какие-либо изменения для соответствия предварительным требованиям перед обновлением виртуальных машин поколения 1-го поколения, связанных с рабочими нагрузками до доверенного запуска.

Windows
Linux

С помощью встроенной программы MBR2GPT.exe можно включить GPT макет диска и добавить EFI system partition необходимые для обновления 2-го поколения.

Внимание

После этого вы не сможете расширить том MBR to GPT conversionоперационной системы ОС Windows. Рекомендуется расширить системный том для будущего перед выполнением обновления.

Примечание.

Windows Server 2016 не поддерживает MBR2GPT.exe. Обходной путь — обновить гостевую ОС до Windows Server 2019 или 2022, а затем выполнить .MBR to GPT conversion Ознакомьтесь с обновлением на месте для виртуальных машин под управлением Windows Server в Azure.

RDP или удаленно подключитесь к виртуальной машине Windows 1-го поколения для выполнения преобразования.
Выполните команду MBR2GPT /validate /allowFullOS и убедитесь, что Disk layout validation выполнено успешно. Не продолжайте работу , если сбой Disk layout validation . Сведения о известных проблемах, связанных со списком распространенных причин и связанных с ним решениях. Дополнительные сведения и устранение неполадок см. в MBR2GPT устранении неполадок.

Выполните команду MBR2GPT /convert /allowFullOS , чтобы выполнить преобразование MBR в GPT. Пример успешных выходных данных:

If conversion is successful the disk can only be booted in GPT mode.
These changes cannot be undone!

MBR2GPT: Attempting to convert disk 0
MBR2GPT: Retrieving layout of disk
MBR2GPT: Validating layout, disk sector size is: 512 bytes
MBR2GPT: Trying to shrink the OS partition
MBR2GPT: Creating the EFI system partition
MBR2GPT: Installing the new boot files
MBR2GPT: Performing the layout conversion
MBR2GPT: Migrating default boot entry
MBR2GPT: Adding recovery boot entry
MBR2GPT: Fixing drive letter mapping
MBR2GPT: Conversion completed successfully
MBR2GPT: Before the new system can boot properly you need to switch the firmware to boot to UEFI mode!

Внимание

Обновление существующих виртуальных машин Linux 1-го поколения до доверенного запуска поддерживаетсятолько для виртуальных машин, созданных с помощью поддерживаемых образов ОС, опубликованных в Azure Marketplace (за исключением Debian, Azure Linux).

Виртуальные машины Linux 1-го поколения Azure, созданные с помощью утвержденных дистрибутивов (канонических, RHEL, SUSE), опубликованных в Azure Marketplace , не требуют каких-либо изменений в томе гостевой ОС. То есть у них уже есть GPT макет диска и EFI system partition настроен. Для других виртуальных машин Linux 1-го поколения Azure, требующих поддержки этого обновления, включая Azure Linux и Debian, отправьте регистрацию в Linux 1-го поколения в поддержку доверенного запуска обновления.

Проверьте готовность гостевой ОС к обновлению доверенного запуска с помощью следующих команд. Не продолжайте обновление доверенного запуска, если какой-либо из этапов проверки завершается ошибкой.

SSH или удаленно подключитесь к виртуальной машине Linux 1-го поколения для выполнения команд проверки.
Определите загрузочное устройство и сохраните его в переменной.
bootDevice=$(echo "/dev/$(sudo lsblk -no pkname $(sudo df /boot | awk 'NR==2 {print $1}'))")
Проверьте тип диска загрузочного устройства. Выходные данные команды должны возвращать gpt.
sudo blkid $bootDevice -o value -s PTTYPE
EFI system partition Проверка доступности тома загрузки. Выходные данные команды должны возвращать определенную секцию, например \dev\sda3.
sudo fdisk -l $bootDevice | grep EFI | awk '{print $1}'
Проверка точки подключения EFI настроена. Выходные данные команды должны возвращать /boot/efi present in /etc/fstab
sudo grep -qs '/boot/efi' /etc/fstab && echo '/boot/efi present in /etc/fstab' || echo '/boot/efi missing in /etc/fstab'

Обновление виртуальной машины 1-го поколения до доверенного запуска

Примечание.

После включения доверенного запуска виртуальные машины в настоящее время не могут быть откатированы до стандартного типа безопасности (ненадежной конфигурации запуска).
VTPM включен по умолчанию.
Рекомендуется включить безопасную загрузку, если вы не используете пользовательское ядро без знака или драйверы. По умолчанию она отключена. Безопасная загрузка сохраняет целостность загрузки и обеспечивает базовую безопасность для виртуальных машин.

Установите последнюю версию Azure PowerShell и войдете в учетную запись Azure с помощью Connect-AzAccount.

Внимание

Скрипт оркестрации на основе PowerShell публикуется в качестве руководства , который управляет всеми шагами обновления, включая преобразование MBR2GPT. Скрипт руководства вместе с необходимой документацией можно получить в Azure 1-го поколения до репозитория GitHub для запуска 2-го поколения.

Выполните действия, чтобы обновить существующую виртуальную машину 1-го поколения до 2-го поколения и включить доверенный запуск с помощью Azure PowerShell.

Войдите в подписку Azure виртуальной машины.
```
Connect-AzAccount -SubscriptionId 00000000-0000-0000-0000-000000000000
```

Освободите виртуальную машину.

Stop-AzVM -ResourceGroupName myResourceGroup -Name myVm

Включите доверенный запуск, установив для TrustedLaunchпараметра -SecurityType значение .

Get-AzVM -ResourceGroupName myResourceGroup -VMName myVm `
    | Update-AzVM -SecurityType TrustedLaunch `
        -EnableSecureBoot $true -EnableVtpm $true

Проверьте securityProfile в обновленной конфигурации виртуальной машины.

# Following command output should be `TrustedLaunch`

(Get-AzVM -ResourceGroupName myResourceGroup -VMName myVm `
    | Select-Object -Property SecurityProfile `
        -ExpandProperty SecurityProfile).SecurityProfile.SecurityType

# Following command output should return `SecureBoot` and `vTPM` settings
(Get-AzVM -ResourceGroupName myResourceGroup -VMName myVm `
    | Select-Object -Property SecurityProfile `
        -ExpandProperty SecurityProfile).SecurityProfile.Uefisettings

Запустите виртуальную машину.

Start-AzVM -ResourceGroupName myResourceGroup -Name myVm

Запустите обновленную виртуальную машину доверенного запуска. Убедитесь, что вы можете войти на виртуальную машину с помощью RDP (для виртуальных машин Windows) или SSH (для виртуальных машин Linux).

Выполните действия, чтобы обновить существующую виртуальную машину 1-го поколения до 2-го поколения и включить доверенный запуск с помощью Azure CLI.

Убедитесь, что вы установили последнюю версию Azure CLI и вошли в учетную запись Azure с помощью az login.

Войдите в подписку Azure виртуальной машины.

az login

az account set --subscription 00000000-0000-0000-0000-000000000000

Освободите виртуальную машину.

az vm deallocate \
   --resource-group myResourceGroup --name myVm

Включите доверенный запуск, установив для TrustedLaunchпараметра --security-type значение .

az vm update \
    --resource-group myResourceGroup --name myVm \
    --security-type TrustedLaunch \
    --enable-secure-boot true --enable-vtpm true

Проверьте выходные данные предыдущей команды. Убедитесь, что securityProfile конфигурация возвращается с выходными данными команды.
```
{
  "securityProfile": {
    "securityType": "TrustedLaunch",
    "uefiSettings": {
      "secureBootEnabled": true,
      "vTpmEnabled": true
    }
  }
}
```

Запустите виртуальную машину.

az vm start \
    --resource-group myResourceGroup --name myVm

Запустите обновленную виртуальную машину доверенного запуска. Убедитесь, что вы можете войти на виртуальную машину с помощью RDP (для виртуальных машин Windows) или SSH (для виртуальных машин Linux).

Выполните действия, чтобы включить доверенный запуск на существующей виртуальной машине Поколения 2 Azure с помощью шаблона ARM.

Шаблон Azure Resource Manager — это файл нотации объектов JavaScript (JSON), который определяет инфраструктуру и конфигурацию проекта. В шаблоне используется декларативный синтаксис. Вы описываете предполагаемое развертывание без написания последовательности команд программирования для создания развертывания.

Изучите шаблон.

{
    "$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentTemplate.json#",
    "contentVersion": "1.0.0.0",
    "parameters": {
        "vmsToUpgrade": {
            "type": "object",
            "metadata": {
                "description": "Specifies the list of Azure virtual machines to be upgraded to Trusted launch."
            }
        },
        "vTpmEnabled": {
            "type": "bool",
            "defaultValue": true,
            "metadata": {
                "description": "Specifies whether vTPM should be enabled on the virtual machine."
            }
        }
    },
    "resources": [
        {
            "type": "Microsoft.Compute/virtualMachines",
            "apiVersion": "2022-11-01",
            "name": "[parameters('vmsToUpgrade').virtualMachines[copyIndex()].vmName]",
            "location": "[parameters('vmsToUpgrade').virtualMachines[copyIndex()].location]",
            "properties": {
                "securityProfile": {
                    "uefiSettings": {
                        "secureBootEnabled": "[parameters('vmsToUpgrade').virtualMachines[copyIndex()].secureBootEnabled]",
                        "vTpmEnabled": "[parameters('vTpmEnabled')]"
                    },
                    "securityType": "TrustedLaunch"
                }
            },
            "copy": {
                "name": "vmCopy",
                "count": "[length(parameters('vmsToUpgrade').virtualMachines)]"
            }
        }
    ]
}

Измените parameters JSON-файл с виртуальными машинами, которые будут обновлены с TrustedLaunch помощью типа безопасности.

{
    "$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentParameters.json#",
    "contentVersion": "1.0.0.0",
    "parameters": {
        "vmsToUpgrade": {
            "value": {
                "virtualMachines": [
                    {
                        "vmName": "myVm01",
                        "location": "westus3",
                        "secureBootEnabled": true
                    },
                    {
                        "vmName": "myVm02",
                        "location": "westus3",
                        "secureBootEnabled": true
                    }
                ]
            }
        }
    }
}

Определение файла параметров

Свойство	Описание свойства	Пример значения в шаблоне
vmName	Имя виртуальной машины Azure.	`myVm`
расположение	Расположение виртуальной машины Azure.	`westus3`
secureBootEnabled	Включите безопасную загрузку с помощью типа безопасности доверенного запуска.	`true`

Отмените обновление всех виртуальных машин Azure.
```
Stop-AzVM -ResourceGroupName myResourceGroup -Name myVm01
```

Запустите развертывание шаблона ARM.

$resourceGroupName = "myResourceGroup"
$parameterFile = "folderPathToFile\parameters.json"
$templateFile = "folderPathToFile\template.json"

New-AzResourceGroupDeployment `
    -ResourceGroupName $resourceGroupName `
    -TemplateFile $templateFile -TemplateParameterFile $parameterFile

Снимок экрана: свойства доверенного запуска виртуальной машины.

Запустите обновленную виртуальную машину доверенного запуска. Убедитесь, что вы можете войти на виртуальную машину с помощью RDP (для виртуальных машин Windows) или SSH (для виртуальных машин Linux).

Известные проблемы

Сбой загрузки Windows 11 после обновления доверенного запуска виртуальной машины Windows 10

Виртуальная машина Windows 10 1-го поколения успешно обновлена до доверенного запуска, а затем успешного обновления Windows 11 на месте. Однако загрузка Windows 11 завершается сбоем после остановки виртуальной машины Azure и начала работы с ошибкой.

Решение. Эта проблема устранена с сборкой 24H2 версии 26100.2314.

Снимок экрана: сбой загрузки виртуальной машины Windows Azure.

[Windows] Преобразование MBR в GPT завершается сбоем с ошибкой "Не удается найти место" для системного раздела EFI

Эта ошибка возникает по одной из следующих причин:

Свободного места на системном томе нет.
Системный том поврежден. Вы можете проверить, пытаясь уменьшить том на несколько MOB в консоли управления дисками. Используйте команду chkdsk C:/v/f для восстановления системного тома.
Virtual Disk служба не выполняется или не может успешно взаимодействовать. Тип запуска службы должен иметь значение Manual.
Optimize Drives служба не выполняется или не может успешно взаимодействовать. Тип запуска службы должен иметь значение Manual.
Диск тома системы уже настроен с четырьмя секциями MBR (максимум, поддерживаемый макетом диска MBR). Необходимо удалить одну из секций, чтобы освободить место для системного раздела EFI.
1. Выполните команду ReAgentc /info , чтобы определить секцию, активно используемую восстановлением. Пример: Windows RE location: \\?\GLOBALROOT\device\harddisk0\partition4\Recovery\WindowsRE
2. Запустите командлет Get-Partition -DiskNumber 0 PowerShell, чтобы определить текущие секции, настроенные.
3. Запустите командлет Remove-Partition -DiskNumber 0 -PartitionNumber X PowerShell, чтобы удалить любую дополнительную секцию восстановления, которая не используется службой восстановления, как описано на шаге 1.

[Windows] Не удалось обновить ReAgent.xml MBR на GPT

Для некоторых версий ОС Windows, таких как Windows 10, MBR2GPT создает ошибку сквозной передачи MBR2GPT: Failed to update ReAgent.xml, please try to manually disable and enable WinRE.

Предупреждение указывает, что MBR2GPT.exe не удалось обновить GUID секции восстановления в C:\Windows\System32\Recovery\ReAgent.xml. Эта проблема не должна вызывать проблемы с функциональными возможностями гостевой ОС или дальнейшими операциями обновления, такими как обновление Windows 11 для успешного выполнения или Windows 11 для правильной работы после обновления. ReAgent.xml обновляется с правильной версией GUID после обновления Windows 11, то есть если вы не выполняете никаких действий между преобразованием MBR2GPT и обновлением Windows 11, значение ReAgent.xml GUID синхронизируется с конфигурацией восстановления Windows.

Чтобы исправить предупреждение вручную, вы можете отключить и повторно включить преобразование winRE после MBR2GPT или после обновления 1-го поколения в доверенный запуск до обновления Windows 11 с помощью перечисленных действий, эти шаги принудительно синхронизируют GUID WinRE в ReAgent.xml

Завершение обновления доверенного запуска 1-го> поколения.
Выполнить reagentc /disable
Выполнить reagentc /enable
Выполнить reagentc /info
Открытие C:\Windows\System32\Recovery\ReAgent.xml и проверка GUID BCD в XML-файле соответствует выходным данным шага 4.

[Windows] Диск D, назначенный обновлению системы зарезервированной записи

Назначение временного диска хранилища "D" изменяется на "E" с предыдущей буквой, назначенной системной зарезервированной после обновления виртуальной машины 1-го поколения. Выполните следующие действия вручную после обновления, чтобы обойти проблему:

После обновления проверьте диски на сервере, если в системной зарезервированной секции есть буква D, выполните следующие действия:

Перенастройка файла страницы с D: на C:
Перезагрузка виртуальной машины
Удаление буквы D: из раздела
Перезагрузите виртуальную машину, чтобы отобразить временный диск хранилища с буквой D:

Ссылка на образ виртуальной машины не изменяет после обновления доверенного запуска

После обновления виртуальной машины Azure 1-го поколения до доверенного запуска ссылка на образ по-прежнему отражает источник в качестве образа ОС 1-го поколения. Ссылка на образы не обновлена является известным ограничением и будет устранена с общим выпуском выпуска 1-го поколения для поддержки обновления доверенной виртуальной машины.

Часто задаваемые вопросы

Что делать, если виртуальные машины поколения 1 не соответствуют предварительным требованиям для доверенного запуска?

Для виртуальной машины поколения 1, которая не соответствует предварительным требованиям для обновления до доверенного запуска, посмотрите, как выполнить предварительные требования. Например, если размер виртуальной машины не поддерживается, найдите эквивалентный поддерживаемый размер доверенного запуска, поддерживающий доверенный запуск.

Почему обновление до поколения 2 (только без доверенного запуска) не поддерживается?

Доверенный запуск обеспечивает базовую безопасность вычислений на виртуальных машинах поколения 2 Azure без дополнительных затрат. Кроме того, доверенные виртуальные машины запуска значительно связаны с четностью виртуальных машин поколения 2. Таким образом, нет дополнительных преимуществ для обновления только до виртуальной машины поколения 2 без включения доверенного запуска.

Сведения о развертывании доверенных виртуальных машин запуска для включения доверенного запуска на новых виртуальных машинах и развертываниях масштабируемых наборов.
Обратитесь к мониторингу целостности загрузки, чтобы включить мониторинг целостности загрузки и отслеживать работоспособность виртуальной машины с помощью Microsoft Defender для облака.
Дополнительные сведения о доверенном запуске и просмотре часто задаваемых вопросов.

Поделиться через

(предварительная версия) Обновление существующих виртуальных машин Azure 1-го поколения до доверенного запуска

Необходимые компоненты

Неподдерживаемые конфигурации виртуальных машин 1-го поколения

Рекомендации

Обновление тома гостевой ОС

Обновление виртуальной машины 1-го поколения до доверенного запуска

Известные проблемы

Сбой загрузки Windows 11 после обновления доверенного запуска виртуальной машины Windows 10

[Windows] Преобразование MBR в GPT завершается сбоем с ошибкой "Не удается найти место" для системного раздела EFI

[Windows] Не удалось обновить ReAgent.xml MBR на GPT

[Windows] Диск D, назначенный обновлению системы зарезервированной записи

Ссылка на образ виртуальной машины не изменяет после обновления доверенного запуска

Часто задаваемые вопросы

Связанный контент

Обратная связь

Дополнительные ресурсы