Включить доверенный запуск в существующем унифицированном наборе масштабирования

ru-RU: Область применения: ✔️ Универсальный масштабируемый набор ✔️ Гибкий масштабируемый набор ❌ Service Fabric

Масштабируемые наборы виртуальных машин Azure поддерживают включение доверенного запуска на существующей виртуальной машине с универсальными масштабируемыми наборами путем обновления до типа безопасности доверенного запуска .

Доверенный запуск обеспечивает базовую безопасность вычислений на виртуальных машинах Azure поколения 2 и масштабируемых наборах и защищает их от расширенных и постоянных атак, таких как загрузочные комплекты и коркиты. Это делается путем объединения технологий инфраструктуры, таких как безопасная загрузка, vTPM и мониторинг целостности загрузки в масштабируемом наборе.

Limitations

Включение доверенного запуска на существующих наборах виртуальных машин с изменяемым масштабом и подключенными дисками данных требует установки режима обновления на периодическое обновление с максимальным увеличением мощности.
- Чтобы проверить, настроен ли набор виртуальных машин с дисковым накопителем, перейдите к набору виртуальных машин ->Диски в меню Параметры -> проверьте под заголовком Диски данных
Включение доверенного запуска на существующих масштабируемых наборах виртуальных машин Flex в настоящее время находится в предварительной версии. Регистрация для предварительной версии включения доверенного запуска в существующем масштабируемом наборе Flex
Включение доверенного запуска в существующих кластерах Service Fabric и управляемых кластерах Service Fabric в настоящее время не поддерживается.

Prerequisites

Набор масштабов не зависит от функций, которые в настоящее время не поддерживаются доверенным запуском.
Масштабируемый набор следует настроить с помощью поддерживаемого семейства поддерживаемых размеров доверенного запуска
Note
- Размер виртуальной машины можно изменить вместе с обновлением доверенного запуска. Убедитесь, что квота для нового размера виртуальной машины находится на месте, чтобы избежать сбоев обновления. Ознакомьтесь с разделом "Проверка квот vCPU".
- Изменение размера виртуальной машины повторно создает экземпляр виртуальной машины с новым размером и требует простоя отдельного экземпляра виртуальной машины. Это можно сделать в режиме последовательного обновления, чтобы избежать простоя масштабируемого набора.
Масштабируемый набор следует настроить с помощью поддерживаемого образа ОС доверенного запуска. Для образа ОС коллекции вычислений Azure убедитесь, что определение образа помечается как TrustedLaunchSupported

Important

Изменение образа операционной системы набора виртуальных машин пересоздает диски ОС для всех экземпляров виртуальных машин из нового образа. Это изменение означает, что все данные или пользовательские конфигурации, хранящиеся на текущих дисках ОС, теряются после обновления. Перед продолжением убедитесь, что необходимо создать резервную копию любой важной информации.

Включение доверенного запуска в существующем масштабируемом наборе

Ниже описано, как включить доверенный запуск в существующем универсальном масштабируемом наборе с помощью портала Azure.

(Необязательно) Размер масштабируемого набора: перейдите в Size раздел Availability + scale .> Измените размер масштабируемого набора, если текущее семейство размеров не поддерживается с конфигурацией безопасности доверенного запуска —> нажмите кнопку "Применить".
Образ ОС: перейдите в Operating system раздел Settings —> щелкните значок Change image reference.
Обновите ссылку на образ ОС, чтобы Gen2-Trusted запустить поддерживаемый образ ОС. Убедитесь, что исходный образ второго поколения имеет TrustedLaunchSupported тип безопасности, если используется образ ОС Azure Compute Gallery.> Нажмите Применить.
Тип безопасности: щелкните СтандартныйSecurity type на Overview странице набора масштабирования ИЛИ перейдите в Configuration раздел Settings.
Обновите раскрывающийся список типов безопасности на странице Configuration, изменив Standard на Trusted launch, и отметьте Enable secure boot и Enable vTPM, чтобы активировать конфигурацию безопасности "Доверенный запуск". Щелкните Yes , чтобы подтвердить изменения.
Note
- VTPM включен по умолчанию.
- Безопасная загрузка должна быть включена, если вы не используете пользовательское неподписанное ядро или драйверы (по умолчанию не включена). Безопасная загрузка сохраняет целостность загрузки и обеспечивает базовую безопасность для виртуальной машины.
Проверьте изменения на Overview странице масштабируемого набора.
(Рекомендуется) Расширение аттестации гостей. Добавление расширения аттестации гостей (GA) для ресурса масштабируемого набора, что позволяет отслеживать целостность загрузки для масштабируемого набора.
Обновите экземпляры виртуальной машины вручную, если для масштабируемого набора задан единый Manual.

Ниже приведены сведения об использовании шаблона ARM для включения функции доверенного запуска в существующем единообразном наборе виртуальных машин.

Внесите следующие изменения, чтобы включить доверенный запуск с помощью существующего кода развертывания шаблона ARM. Полный шаблон см. в кратком руководстве по шаблону ARM для доверенного запуска масштабируемого набора.

Important

Доверенный тип безопасности запуска доступен в масштабируемом наборе apiVersion2020-12-01 или более поздней версии. Убедитесь, что версия API настроена правильно перед обновлением.

Образ ОС: обновите ссылку на образ ОС, чтобы Gen2-Trusted запустить поддерживаемый образ ОС. Убедитесь, что исходный образ 2-го поколения имеет TrustedLaunchSupported тип безопасности, если используется образ ОС коллекции вычислений Azure.

"storageProfile": { 
        "osDisk": { 
            "createOption": "FromImage", 
            "caching": "ReadWrite" 
        }, 
        "imageReference": { 
            "publisher": "MicrosoftWindowsServer", 
            "offer": "WindowsServer", 
            "sku": "2022-datacenter-azure-edition", 
            "version": "latest" 
        } 
}

(Необязательно) Размер масштабируемого набора: измените размер масштабируемого набора, если текущее семейство размеров не поддерживается с конфигурацией безопасности доверенного запуска .
```
    "sku": { 
        "name": "Standard_D2s_v3", 
        "tier": "Standard", 
        "capacity": "[parameters('instanceCount')]" 
    } 
```
Профиль безопасности: добавьте securityProfile блок в поле virtualMachineProfile для включения конфигурации безопасности доверенного запуска.

Note

Рекомендуемые параметры: vTPM: true и secureBoot: truesecureBoot следует установить в false, если вы используете неподписанный пользовательский драйвер или ядро на ОС.
```
"securityProfile": { 
    "securityType": "TrustedLaunch", 
    "uefiSettings": { 
      "secureBootEnabled": true, 
      "vTpmEnabled": true
    } 
}
```

(Рекомендуется) Расширение аттестации гостей. Добавление расширения аттестации гостей (GA) для ресурса масштабируемого набора, что позволяет отслеживать целостность загрузки для масштабируемого набора.

Important

Для расширения аттестации гостей требуется secureBoot и vTPM задано значение true.

{ 
    "condition": "[and(parameters('vTPM'), parameters('secureBoot'))]", 
    "type": "Microsoft.Compute/virtualMachineScaleSets/extensions", 
    "apiVersion": "2022-03-01", 
    "name": "[format('{0}/{1}', parameters('vmssName'), GuestAttestation)]", 
    "location": "[parameters('location')]", 
    "properties": { 
      "publisher": "Microsoft.Azure.Security.WindowsAttestation", 
      "type": "GuestAttestation", 
      "typeHandlerVersion": "1.0", 
      "autoUpgradeMinorVersion": true, 
      "enableAutomaticUpgrade": true, 
      "settings": { 
        "AttestationConfig": { 
          "MaaSettings": { 
            "maaEndpoint": "[substring('emptystring', 0, 0)]", 
            "maaTenantName": "GuestAttestation" 
          } 
        } 
      } 
    }, 
    "dependsOn": [ 
      "[resourceId('Microsoft.Compute/virtualMachineScaleSets', parameters('vmssName'))]" 
    ] 
}

Имя издателя расширения:

Тип ОС	Имя издателя расширения
Windows	Microsoft.Azure.Security.WindowsAttestation
Linux	Microsoft.Azure.Security.LinuxAttestation

Просмотрите изменения, внесенные в шаблон.

Разверните, чтобы просмотреть полный пример шаблона ARM, который поддерживает обновление существующего масштабируемого набора до доверенного запуска и отката (при необходимости).

{
  "$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentTemplate.json#",
  "contentVersion": "1.0.0.0",
  "parameters": {
    "vmSku": {
      "type": "string",
      "defaultValue": "Standard_D2s_v3",
      "metadata": {
        "description": "Size of VMs in the VM Scale Set."
      }
    },
    "sku": {
      "type": "string",
      "defaultValue": "2022-datacenter-azure-edition",
      "allowedValues": [
        "2022-datacenter-azure-edition"
      ],
      "metadata": {
        "description": "The Windows version for the VM. This will pick a fully patched image of this given Windows version."
      }
    },
    "vmssName": {
      "type": "string",
      "maxLength": 61,
      "metadata": {
        "description": "String used as a base for naming resources. Must be 3-61 characters in length and globally unique across Azure. A hash is prepended to this string for some resources, and resource-specific information is appended."
      }
    },
    "instanceCount": {
      "type": "int",
      "defaultValue": 2,
      "maxValue": 100,
      "minValue": 1,
      "metadata": {
        "description": "Number of VM instances (100 or less)."
      }
    },
    "adminUsername": {
      "type": "string",
      "metadata": {
        "description": "Admin username on all VMs."
      }
    },
    "adminPassword": {
      "type": "securestring",
      "metadata": {
        "description": "Admin password on all VMs."
      }
    },
    "location": {
      "type": "string",
      "defaultValue": "[resourceGroup().location]",
      "metadata": {
        "description": "Location for all resources."
      }
    },
    "publicIpName": {
      "type": "string",
      "defaultValue": "myPublicIP",
      "metadata": {
        "description": "Name for the Public IP used to access the virtual machine Scale set."
      }
    },
    "publicIPAllocationMethod": {
      "type": "string",
      "defaultValue": "Static",
      "allowedValues": [
        "Dynamic",
        "Static"
      ],
      "metadata": {
        "description": "Allocation method for the Public IP used to access the virtual machine set."
      }
    },
    "publicIpSku": {
      "type": "string",
      "defaultValue": "Standard",
      "allowedValues": [
        "Basic",
        "Standard"
      ],
      "metadata": {
        "description": "SKU for the Public IP used to access the virtual machine Scale set."
      }
    },
    "dnsLabelPrefix": {
      "type": "string",
      "defaultValue": "[toLower(format('{0}-{1}', parameters('vmssName'), uniqueString(resourceGroup().id)))]",
      "metadata": {
        "description": "Unique DNS Name for the Public IP used to access the virtual machine Scale set."
      }
    },
    "healthExtensionProtocol": {
      "type": "string",
      "defaultValue": "TCP",
      "allowedValues": [
        "TCP",
        "HTTP",
        "HTTPS"
      ]
    },
    "healthExtensionPort": {
      "type": "int",
      "defaultValue": 3389
    },
    "healthExtensionRequestPath": {
      "type": "string",
      "defaultValue": "/"
    },
    "overprovision": {
      "type": "bool",
      "defaultValue": false
    },
    "upgradePolicy": {
      "type": "string",
      "defaultValue": "Manual",
      "allowedValues": [
        "Manual",
        "Rolling",
        "Automatic"
      ]
    },
    "maxBatchInstancePercent": {
      "type": "int",
      "defaultValue": 20
    },
    "maxUnhealthyInstancePercent": {
      "type": "int",
      "defaultValue": 20
    },
    "maxUnhealthyUpgradedInstancePercent": {
      "type": "int",
      "defaultValue": 20
    },
    "pauseTimeBetweenBatches": {
      "type": "string",
      "defaultValue": "PT5S"
    },
    "securityType": {
      "type": "string",
      "defaultValue": "TrustedLaunch",
      "allowedValues": [
        "Standard",
        "TrustedLaunch"
      ],
      "metadata": {
        "description": "Security Type of the Virtual Machine."
      }
    },
    "encryptionAtHost": {
        "type": "bool",
        "defaultValue": false,
        "metadata": {
            "description": "This property can be used by user in the request to enable or disable the Host Encryption for the virtual machine or virtual machine Scale set. This will enable the encryption for all the disks including Resource/Temp disk at host itself. The default behavior is: The Encryption at host will be disabled unless this property is set to true for the resource."
        }
    }
  },
  "variables": {
    "namingInfix": "[toLower(substring(format('{0}{1}', parameters('vmssName'), uniqueString(resourceGroup().id)), 0, 9))]",
    "addressPrefix": "10.0.0.0/16",
    "subnetPrefix": "10.0.0.0/24",
    "virtualNetworkName": "[format('{0}vnet', variables('namingInfix'))]",
    "subnetName": "[format('{0}subnet', variables('namingInfix'))]",
    "loadBalancerName": "[format('{0}lb', variables('namingInfix'))]",
    "natPoolName": "[format('{0}natpool', variables('namingInfix'))]",
    "bePoolName": "[format('{0}bepool', variables('namingInfix'))]",
    "natStartPort": 50000,
    "natEndPort": 50119,
    "natBackendPort": 3389,
    "nicName": "[format('{0}nic', variables('namingInfix'))]",
    "ipConfigName": "[format('{0}ipconfig', variables('namingInfix'))]",
    "imageReference": {
      "2022-datacenter-azure-edition": {
        "publisher": "MicrosoftWindowsServer",
        "offer": "WindowsServer",
        "sku": "[parameters('sku')]",
        "version": "latest"
      }
    },
    "extensionName": "GuestAttestation",
    "extensionPublisher": "Microsoft.Azure.Security.WindowsAttestation",
    "extensionVersion": "1.0",
    "maaTenantName": "GuestAttestation",
    "maaEndpoint": "[substring('emptyString', 0, 0)]",
    "uefiSettingsJson": {
        "secureBootEnabled": true,
        "vTpmEnabled": true
    },
    "rollingUpgradeJson": {
      "maxBatchInstancePercent": "[parameters('maxBatchInstancePercent')]",
      "maxUnhealthyInstancePercent": "[parameters('maxUnhealthyInstancePercent')]",
      "maxUnhealthyUpgradedInstancePercent": "[parameters('maxUnhealthyUpgradedInstancePercent')]",
      "pauseTimeBetweenBatches": "[parameters('pauseTimeBetweenBatches')]"
    }
  },
  "resources": [
    {
      "type": "Microsoft.Network/virtualNetworks",
      "apiVersion": "2022-05-01",
      "name": "[variables('virtualNetworkName')]",
      "location": "[parameters('location')]",
      "properties": {
        "addressSpace": {
          "addressPrefixes": [
            "[variables('addressPrefix')]"
          ]
        },
        "subnets": [
          {
            "name": "[variables('subnetName')]",
            "properties": {
              "addressPrefix": "[variables('subnetPrefix')]"
            }
          }
        ]
      }
    },
    {
      "type": "Microsoft.Network/publicIPAddresses",
      "apiVersion": "2022-05-01",
      "name": "[parameters('publicIpName')]",
      "location": "[parameters('location')]",
      "sku": {
        "name": "[parameters('publicIpSku')]"
      },
      "properties": {
        "publicIPAllocationMethod": "[parameters('publicIPAllocationMethod')]",
        "dnsSettings": {
          "domainNameLabel": "[parameters('dnsLabelPrefix')]"
        }
      }
    },
    {
      "type": "Microsoft.Network/loadBalancers",
      "apiVersion": "2022-05-01",
      "name": "[variables('loadBalancerName')]",
      "location": "[parameters('location')]",
      "sku": {
        "name": "[parameters('publicIpSku')]",
        "tier": "Regional"
      },
      "properties": {
        "frontendIPConfigurations": [
          {
            "name": "LoadBalancerFrontEnd",
            "properties": {
              "publicIPAddress": {
                "id": "[resourceId('Microsoft.Network/publicIPAddresses', parameters('publicIpName'))]"
              }
            }
          }
        ],
        "backendAddressPools": [
          {
            "name": "[variables('bePoolName')]"
          }
        ],
        "inboundNatPools": [
          {
            "name": "[variables('natPoolName')]",
            "properties": {
              "frontendIPConfiguration": {
                "id": "[resourceId('Microsoft.Network/loadBalancers/frontendIPConfigurations', variables('loadBalancerName'), 'loadBalancerFrontEnd')]"
              },
              "protocol": "Tcp",
              "frontendPortRangeStart": "[variables('natStartPort')]",
              "frontendPortRangeEnd": "[variables('natEndPort')]",
              "backendPort": "[variables('natBackendPort')]"
            }
          }
        ]
      },
      "dependsOn": [
        "[resourceId('Microsoft.Network/publicIPAddresses', parameters('publicIpName'))]"
      ]
    },
    {
      "type": "Microsoft.Compute/virtualMachineScaleSets",
      "apiVersion": "2022-03-01",
      "name": "[parameters('vmssName')]",
      "location": "[parameters('location')]",
      "sku": {
        "name": "[parameters('vmSku')]",
        "tier": "Standard",
        "capacity": "[parameters('instanceCount')]"
      },
      "properties": {
        "virtualMachineProfile": {
          "storageProfile": {
            "osDisk": {
              "createOption": "FromImage",
              "caching": "ReadWrite"
            },
            "imageReference": "[variables('imageReference')[parameters('sku')]]"
          },
          "osProfile": {
            "computerNamePrefix": "[variables('namingInfix')]",
            "adminUsername": "[parameters('adminUsername')]",
            "adminPassword": "[parameters('adminPassword')]"
          },
          "securityProfile": {
              "encryptionAtHost": "[parameters('encryptionAtHost')]",
              "securityType": "[parameters('securityType')]",
              "uefiSettings": "[if(equals(parameters('securityType'), 'TrustedLaunch'), variables('uefiSettingsJson'), null())]"
              
          },
          "networkProfile": {
            "networkInterfaceConfigurations": [
              {
                "name": "[variables('nicName')]",
                "properties": {
                  "primary": true,
                  "ipConfigurations": [
                    {
                      "name": "[variables('ipConfigName')]",
                      "properties": {
                        "subnet": {
                          "id": "[resourceId('Microsoft.Network/virtualNetworks/subnets', variables('virtualNetworkName'), variables('subnetName'))]"
                        },
                        "loadBalancerBackendAddressPools": [
                          {
                            "id": "[resourceId('Microsoft.Network/loadBalancers/backendAddressPools', variables('loadBalancerName'), variables('bePoolName'))]"
                          }
                        ],
                        "loadBalancerInboundNatPools": [
                          {
                            "id": "[resourceId('Microsoft.Network/loadBalancers/inboundNatPools', variables('loadBalancerName'), variables('natPoolName'))]"
                          }
                        ]
                      }
                    }
                  ]
                }
              }
            ]
          },
          "extensionProfile": {
            "extensions": [
              {
                "name": "HealthExtension",
                "properties": {
                  "publisher": "Microsoft.ManagedServices",
                  "type": "ApplicationHealthWindows",
                  "typeHandlerVersion": "1.0",
                  "autoUpgradeMinorVersion": false,
                  "settings": {
                    "protocol": "[parameters('healthExtensionProtocol')]",
                    "port": "[parameters('healthExtensionPort')]",
                    "requestPath": "[if(equals(parameters('healthExtensionProtocol'), 'TCP'), null(), parameters('healthExtensionRequestPath'))]"
                  }
                }
              }
            ]
          },
          "diagnosticsProfile": {
            "bootDiagnostics": {
              "enabled": true
            }
          }
        },
        "orchestrationMode": "Uniform",
        "overprovision": "[parameters('overprovision')]",
        "upgradePolicy": {
          "mode": "[parameters('upgradePolicy')]",
          "rollingUpgradePolicy": "[if(equals(parameters('upgradePolicy'), 'Rolling'), variables('rollingUpgradeJson'), null())]",
          "automaticOSUpgradePolicy": {
            "enableAutomaticOSUpgrade": true
          }
        }
      },
      "dependsOn": [
        "[resourceId('Microsoft.Network/loadBalancers', variables('loadBalancerName'))]",
        "[resourceId('Microsoft.Network/virtualNetworks', variables('virtualNetworkName'))]"
      ]
    },
    {
      "condition": "[and(equals(parameters('securityType'), 'TrustedLaunch'), and(equals(variables('uefiSettingsJson').secureBootEnabled, true()), equals(variables('uefiSettingsJson').vTpmEnabled, true())))]",
      "type": "Microsoft.Compute/virtualMachineScaleSets/extensions",
      "apiVersion": "2022-03-01",
      "name": "[format('{0}/{1}', parameters('vmssName'), variables('extensionName'))]",
      "location": "[parameters('location')]",
      "properties": {
        "publisher": "[variables('extensionPublisher')]",
        "type": "[variables('extensionName')]",
        "typeHandlerVersion": "[variables('extensionVersion')]",
        "autoUpgradeMinorVersion": true,
        "enableAutomaticUpgrade": true,
        "settings": {
          "AttestationConfig": {
            "MaaSettings": {
              "maaEndpoint": "[variables('maaEndpoint')]",
              "maaTenantName": "[variables('maaTenantName')]"
            }
          }
        }
      },
      "dependsOn": [
        "[resourceId('Microsoft.Compute/virtualMachineScaleSets', parameters('vmssName'))]"
      ]
    }
  ]
}

Выполните развертывание шаблона ARM.

$resourceGroupName = "myResourceGroup"
$parameterFile = "folderPathToFile\parameters.json"
$templateFile = "folderPathToFile\template.json"

New-AzResourceGroupDeployment `
    -ResourceGroupName $resourceGroupName `
    -TemplateFile $templateFile -TemplateParameterFile $parameterFile

Убедитесь, что развертывание выполнено успешно. Проверьте тип безопасности и параметры UEFI универсального набора масштабирования с помощью портал Azure. Проверьте раздел "Тип безопасности" на странице "Обзор".
Обновите экземпляры виртуальной машины вручную, если для масштабируемого набора задан единый Manual.
```
$resourceGroupName = "myResourceGroup"
$vmssName = "VMScaleSet001"
Update-AzVmssInstance -ResourceGroupName $resourceGroupName -VMScaleSetName $vmssName -InstanceId "0"
```

В этом разделе описано, как использовать Azure CLI для включения доверенного запуска в существующем универсальном ресурсе масштабируемого набора Azure.

Убедитесь, что на вашем устройстве установлена последняя версия Azure CLI и вы вошли в учетную запись Azure, используя команду az login.

Note

VTPM включен по умолчанию.
Безопасная загрузка должна быть включена, если вы не используете пользовательское неподписанное ядро или драйверы (по умолчанию не включена). Безопасная загрузка сохраняет целостность загрузки и обеспечивает базовую безопасность для виртуальной машины.

Вход в подписку Azure

az login

az account set --subscription 00000000-0000-0000-0000-000000000000

Включите доверенный запуск с помощью команды az vmss update по параметру --security-type: TrustedLaunch: virtualMachineProfile.storageProfile.imageReference.sku2-надежный запуск поддерживаемого образа ОС, --vm-sku: поддерживаемый размер виртуальной машины 2-го поколения.
```
az vmss update --name MyScaleSet `
    --resource-group MyResourceGroup `
    --set virtualMachineProfile.storageProfile.imageReference.sku='2022-datacenter-azure-edition' `
    --security-type TrustedLaunch --enable-secure-boot $true --enable-vtpm $true
```
Note

SKU образа ОС, используемый в az vmss update, должен быть от того же издателя образов ОС и предложения.
Проверьте выходные данные предыдущей команды. securityProfile конфигурация возвращается с выходными данными команды.
```
{
  "securityProfile": {
    "securityType": "TrustedLaunch",
    "uefiSettings": {
      "secureBootEnabled": true,
      "vTpmEnabled": true
    }
  }
}
```
Обновите экземпляры виртуальной машины вручную, если для масштабируемого набора задан единый Manual.
```
az vmss update-instances --instance-ids 1 --name MyScaleSet --resource-group MyResourceGroup
```
Запустите последовательное обновление, если для масштабируемого набора задан единый RollingUpgrade.
```
az vmss rolling-upgrade start --name MyScaleSet --resource-group MyResourceGroup
```

В этом разделе описывается использование Azure PowerShell для включения доверенного запуска в существующем масштабируемом наборе виртуальных машин Azure.

Убедитесь, что последняя версия Azure PowerShell установлена и войдите в учетную запись Azure с помощью Connect-AzAccount.

Note

VTPM включен по умолчанию.
Безопасная загрузка должна быть включена, если вы не используете пользовательское неподписанное ядро или драйверы (по умолчанию не включена). Безопасная загрузка сохраняет целостность загрузки и обеспечивает базовую безопасность для виртуальной машины.

Вход в подписку Azure

Connect-AzAccount -SubscriptionId 00000000-0000-0000-0000-000000000000

Включите доверенный запуск с использованием команды Update-AzVMSS, установив параметры -SecurityType: , TrustedLaunch: образ ОС с поддержкой доверенного загрузчика Gen2, -SkuName: размер виртуальной машины с поддержкой доверенного загрузчика Gen2.
```
$vmss = Get-AzVmss -VMScaleSetName MyVmssName -ResourceGroupName MyResourceGroup

# Enable Trusted Launch
$vmss = Set-AzVmssSecurityProfile -virtualMachineScaleSet $vmss -SecurityType TrustedLaunch

# Enable Trusted Launch settings
$vmss = Set-AzVmssUefi -VirtualMachineScaleSet $vmss -EnableVtpm $true -EnableSecureBoot $true

Update-AzVmss -ResourceGroupName $vmss.ResourceGroupName `
    -VMScaleSetName $vmss.Name -VirtualMachineScaleSet $vmss `
    -SecurityType TrustedLaunch -EnableVtpm $true -EnableSecureBoot $true `
    -ImageReferenceSku 2022-datacenter-azure-edition
```
Note

Номер SKU образа ОС, используемый в команде Update-AzVMSS, должен быть из одного издателя образа ОС и предложения.
Убедитесь, что конфигурация securityProfile возвращается в результатах выполнения команды Get-AzVMSS.
```
{
  "securityProfile": {
    "securityType": "TrustedLaunch",
    "uefiSettings": {
      "secureBootEnabled": true,
      "vTpmEnabled": true
    }
  }
}
```
Обновите экземпляры виртуальной машины вручную, если для масштабируемого набора задан единый Manual.
```
Update-AzVmssInstance -ResourceGroupName "MyResourceGroup" -VMScaleSetName "MyScaleSet" -InstanceId "0"
```
Запустите последовательное обновление, если для масштабируемого набора задан единый RollingUpgrade.
```
Start-AzVmssRollingOSUpgrade -ResourceGroupName "MyResourceGroup" -VMScaleSetName "MyScaleSet"
```

Откат

Чтобы откатить изменения от доверенного запуска до предыдущей известной хорошей конфигурации, необходимо установить securityType для масштабируемого набора на Стандартный.

Образ ОС: перейдите в Operating system раздел Settings. Щелкните Change image reference.
Обновите ссылку на образ ОС до последней известной хорошей конфигурации.> Нажмите кнопку "Применить".
Тип безопасности: Перейдите на страницу Configuration в разделе Settings ->. На странице Configuration, обновите раскрывающееся меню с Trusted launch на Standard, чтобы отключить конфигурацию безопасности доверенного запуска. Щелкните Yes , чтобы подтвердить изменения.
Проверьте изменения на Overview странице масштабируемого набора.
Обновите экземпляры виртуальной машины вручную, если для масштабируемого набора задан единый Manual.

Чтобы откатить изменения от доверенного запуска до предыдущей известной хорошей конфигурации, установите значение securityProfile"Стандартный" , как показано ниже. При необходимости можно также вернуть другие изменения параметров — образ ОС, размер виртуальной машины и повторить шаги 5-8, описанные в разделе "Включить доверенный запуск" в существующем масштабируемом наборе.

"securityProfile": {
    "securityType": "Standard",
    "uefiSettings": "[null()]"
}

Note

Требуется Azure CLI версии 2.62.0 или более поздней для отката универсального масштабируемого набора из доверенного запуска в конфигурацию запуска без доверия.

Чтобы откатить изменения от доверенного запуска до предыдущей известной хорошей конфигурации, задайте --security-type значение Standard , как показано ниже. При необходимости можно также вернуть другие изменения параметров— образ ОС, размер виртуальной машины и повторить шаги 2-5, описанные в разделе "Включение доверенного запуска в существующем масштабируемом наборе"

az vmss update --name MyScaleSet `
        --resource-group MyResourceGroup `
        --security-type Standard

Чтобы откатить изменения от доверенного запуска до предыдущей известной хорошей конфигурации, задайте -SecurityType значение Standard , как показано ниже. При необходимости можно также вернуть другие изменения параметров— образ ОС, размер виртуальной машины и повторить шаги 2-5, описанные в разделе "Включение доверенного запуска в существующем масштабируемом наборе"

$vmss = Get-AzVmss -VMScaleSetName MyVmssName -ResourceGroupName MyResourceGroup

# roll back Trusted Launch
Set-AzVmssSecurityProfile -virtualMachineScaleSet $vmss -SecurityType Standard

Update-AzVmss -ResourceGroupName $vmss.ResourceGroupName `
    -VMScaleSetName $vmss.Name -VirtualMachineScaleSet $vmss `
    -SecurityType Standard `
    -ImageReferenceSku 2022-datacenter-azure-edition

Дальнейшие шаги

(Рекомендуется) После обновления обеспечивает мониторинг целостности загрузки для мониторинга работоспособности виртуальной машины с помощью Microsoft Defender для облака.

Узнайте больше о доверенном запуске и ознакомьтесь с часто задаваемыми вопросами.

Обратная связь

Были ли сведения на этой странице полезными?

Last updated on 2025-08-05

Поделиться через

Включить доверенный запуск в существующем унифицированном наборе масштабирования

Limitations

Prerequisites

Включение доверенного запуска в существующем масштабируемом наборе

Откат

Дальнейшие шаги

Обратная связь

Дополнительные ресурсы