Włącz zaufane uruchamianie w istniejącym jednolitym zestawie skalowania

Poniższe kroki opisują, jak włączyć uruchamianie zaufane w istniejącym, jednolitym zestawie skalowania, korzystając z portalu Azure.

1. (Opcjonalnie) Rozmiar zestawu skalowania: przejdź do Size w obszarze Availability + scale -> zmodyfikuj rozmiar zestawu skalowania, jeśli bieżąca rodzina rozmiarów nie jest obsługiwana przez konfigurację zabezpieczeń Zaufanego Uruchamiania -> kliknij przycisk Zastosuj.

2. Obraz systemu operacyjnego: nawiguj do Operating system w obszarze Settings:> kliknij pozycję Change image reference.

3. Zaktualizuj odwołanie do obrazu systemu operacyjnego, aby Gen2-Trusted uruchomić obsługiwany obraz systemu operacyjnego. Upewnij się, że źródłowy obraz Gen2 ma TrustedLaunchSupported typ zabezpieczeń, jeśli używasz obrazu systemu operacyjnego Azure Compute Gallery —> kliknij Zastosuj.

4. Typ zabezpieczeń: Kliknij StandardSecurity type na Overview stronie zestawu skalowania LUB przejdź do Configuration w obszarze Settings.

   

5. Zaktualizuj typ zabezpieczeń z rozwijanej listy na stronie Configuration z Standard na Trusted launch, zaznaczając Enable secure boot oraz Enable vTPM, aby włączyć konfigurację zabezpieczeń Zaufane uruchamianie. Kliknij Yes , aby potwierdzić zmiany.

   Note

   • Funkcja vTPM jest domyślnie włączona.
   • Bezpieczny rozruch powinien być włączony (nie jest domyślnie włączony), jeśli nie używasz niestandardowego niepodpisanego jądra ani sterowników. Bezpieczny rozruch zachowuje integralność rozruchu i umożliwia podstawowe zabezpieczenia maszyny wirtualnej.

   

6. Zweryfikuj zmiany na stronie Overview zestawu skalowania.

7. (Zalecane) Rozszerzenie zaświadczania gościa: dodaj rozszerzenie zaświadczania gościa dla zasobu zestawu skalowania, co umożliwia monitorowanie integralności rozruchu dla zestawu skalowania.

8. Zaktualizuj wystąpienia maszyn wirtualnych ręcznie, jeśli jednolity tryb uaktualniania zestawu skalowania jest ustawiony na Manual.

Poniżej opisano użycie szablonu ARM w celu włączenia Zaufanego uruchamiania w istniejącym jednolicie skalowanym zestawie.

Wprowadź następujące modyfikacje, aby włączyć [zaufane uruchamianie/uwierzytelnione uruchamianie] przy użyciu istniejącego kodu wdrożenia szablonu ARM. Aby uzyskać pełny szablon, zapoznaj się z szablonem ARM zaufanego startu zaufanego zestawu skalowania.

1. Obraz systemu operacyjnego: zaktualizuj odwołanie do obrazu systemu operacyjnego, aby Gen2-Trusted uruchomić obsługiwany obraz systemu operacyjnego. Upewnij się, że źródłowy obraz gen2 ma TrustedLaunchSupported typ zabezpieczeń, jeśli używasz obrazu systemu operacyjnego usługi Azure Compute Gallery.

   "storageProfile": { 
           "osDisk": { 
               "createOption": "FromImage", 
               "caching": "ReadWrite" 
           }, 
           "imageReference": { 
               "publisher": "MicrosoftWindowsServer", 
               "offer": "WindowsServer", 
               "sku": "2022-datacenter-azure-edition", 
               "version": "latest" 
           } 
   }
   

2. (Opcjonalnie) Rozmiar zestawu skalowania: Jeśli bieżąca rodzina rozmiarów nie jest obsługiwana przy użyciu konfiguracji zabezpieczeń Zaufane uruchomienie, zmodyfikuj rozmiar zestawu skalowania.

       "sku": { 
           "name": "Standard_D2s_v3", 
           "tier": "Standard", 
           "capacity": "[parameters('instanceCount')]" 
       } 
   

3. Profil zabezpieczeń: dodaj blok securityProfile pod virtualMachineProfile, aby włączyć konfigurację zabezpieczeń dla Zaufanego Rozruchu.

   Note

   Zalecane ustawienia: vTPM: true oraz secureBoot: truesecureBoot powinny być ustawione na false, jeśli używasz dowolnego niepodpisanego sterownika niestandardowego lub jądra w systemie operacyjnym.

   "securityProfile": { 
       "securityType": "TrustedLaunch", 
       "uefiSettings": { 
         "secureBootEnabled": true, 
         "vTpmEnabled": true
       } 
   }
   

4. (Zalecane) Rozszerzenie zaświadczania gościa: dodaj rozszerzenie zaświadczania gościa dla zasobu zestawu skalowania, co umożliwia monitorowanie integralności rozruchu dla zestawu skalowania.

   Important

   Rozszerzenie zaświadczania gościa wymaga secureBoot i vTPM ustaw wartość true.

   { 
       "condition": "[and(parameters('vTPM'), parameters('secureBoot'))]", 
       "type": "Microsoft.Compute/virtualMachineScaleSets/extensions", 
       "apiVersion": "2022-03-01", 
       "name": "[format('{0}/{1}', parameters('vmssName'), GuestAttestation)]", 
       "location": "[parameters('location')]", 
       "properties": { 
         "publisher": "Microsoft.Azure.Security.WindowsAttestation", 
         "type": "GuestAttestation", 
         "typeHandlerVersion": "1.0", 
         "autoUpgradeMinorVersion": true, 
         "enableAutomaticUpgrade": true, 
         "settings": { 
           "AttestationConfig": { 
             "MaaSettings": { 
               "maaEndpoint": "[substring('emptystring', 0, 0)]", 
               "maaTenantName": "GuestAttestation" 
             } 
           } 
         } 
       }, 
       "dependsOn": [ 
         "[resourceId('Microsoft.Compute/virtualMachineScaleSets', parameters('vmssName'))]" 
       ] 
   } 
   

   Nazwa wydawcy rozszerzenia:

   Typ systemu operacyjnego	Nazwa wydawcy rozszerzenia
   Windows	Microsoft.Azure.Security.WindowsAttestation
   Linux	Microsoft.Azure.Security.LinuxAttestation

5. Przejrzyj zmiany wprowadzone w szablonie.

   Rozwiń, aby wyświetlić kompletny przykładowy szablon usługi ARM, który obsługuje uaktualnianie istniejącego zestawu skalowania do zaufanego uruchamiania i wycofywania (w razie potrzeby).

   {
     "$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentTemplate.json#",
     "contentVersion": "1.0.0.0",
     "parameters": {
       "vmSku": {
         "type": "string",
         "defaultValue": "Standard_D2s_v3",
         "metadata": {
           "description": "Size of VMs in the VM Scale Set."
         }
       },
       "sku": {
         "type": "string",
         "defaultValue": "2022-datacenter-azure-edition",
         "allowedValues": [
           "2022-datacenter-azure-edition"
         ],
         "metadata": {
           "description": "The Windows version for the VM. This will pick a fully patched image of this given Windows version."
         }
       },
       "vmssName": {
         "type": "string",
         "maxLength": 61,
         "metadata": {
           "description": "String used as a base for naming resources. Must be 3-61 characters in length and globally unique across Azure. A hash is prepended to this string for some resources, and resource-specific information is appended."
         }
       },
       "instanceCount": {
         "type": "int",
         "defaultValue": 2,
         "maxValue": 100,
         "minValue": 1,
         "metadata": {
           "description": "Number of VM instances (100 or less)."
         }
       },
       "adminUsername": {
         "type": "string",
         "metadata": {
           "description": "Admin username on all VMs."
         }
       },
       "adminPassword": {
         "type": "securestring",
         "metadata": {
           "description": "Admin password on all VMs."
         }
       },
       "location": {
         "type": "string",
         "defaultValue": "[resourceGroup().location]",
         "metadata": {
           "description": "Location for all resources."
         }
       },
       "publicIpName": {
         "type": "string",
         "defaultValue": "myPublicIP",
         "metadata": {
           "description": "Name for the Public IP used to access the virtual machine Scale set."
         }
       },
       "publicIPAllocationMethod": {
         "type": "string",
         "defaultValue": "Static",
         "allowedValues": [
           "Dynamic",
           "Static"
         ],
         "metadata": {
           "description": "Allocation method for the Public IP used to access the virtual machine set."
         }
       },
       "publicIpSku": {
         "type": "string",
         "defaultValue": "Standard",
         "allowedValues": [
           "Basic",
           "Standard"
         ],
         "metadata": {
           "description": "SKU for the Public IP used to access the virtual machine Scale set."
         }
       },
       "dnsLabelPrefix": {
         "type": "string",
         "defaultValue": "[toLower(format('{0}-{1}', parameters('vmssName'), uniqueString(resourceGroup().id)))]",
         "metadata": {
           "description": "Unique DNS Name for the Public IP used to access the virtual machine Scale set."
         }
       },
       "healthExtensionProtocol": {
         "type": "string",
         "defaultValue": "TCP",
         "allowedValues": [
           "TCP",
           "HTTP",
           "HTTPS"
         ]
       },
       "healthExtensionPort": {
         "type": "int",
         "defaultValue": 3389
       },
       "healthExtensionRequestPath": {
         "type": "string",
         "defaultValue": "/"
       },
       "overprovision": {
         "type": "bool",
         "defaultValue": false
       },
       "upgradePolicy": {
         "type": "string",
         "defaultValue": "Manual",
         "allowedValues": [
           "Manual",
           "Rolling",
           "Automatic"
         ]
       },
       "maxBatchInstancePercent": {
         "type": "int",
         "defaultValue": 20
       },
       "maxUnhealthyInstancePercent": {
         "type": "int",
         "defaultValue": 20
       },
       "maxUnhealthyUpgradedInstancePercent": {
         "type": "int",
         "defaultValue": 20
       },
       "pauseTimeBetweenBatches": {
         "type": "string",
         "defaultValue": "PT5S"
       },
       "securityType": {
         "type": "string",
         "defaultValue": "TrustedLaunch",
         "allowedValues": [
           "Standard",
           "TrustedLaunch"
         ],
         "metadata": {
           "description": "Security Type of the Virtual Machine."
         }
       },
       "encryptionAtHost": {
           "type": "bool",
           "defaultValue": false,
           "metadata": {
               "description": "This property can be used by user in the request to enable or disable the Host Encryption for the virtual machine or virtual machine Scale set. This will enable the encryption for all the disks including Resource/Temp disk at host itself. The default behavior is: The Encryption at host will be disabled unless this property is set to true for the resource."
           }
       }
     },
     "variables": {
       "namingInfix": "[toLower(substring(format('{0}{1}', parameters('vmssName'), uniqueString(resourceGroup().id)), 0, 9))]",
       "addressPrefix": "10.0.0.0/16",
       "subnetPrefix": "10.0.0.0/24",
       "virtualNetworkName": "[format('{0}vnet', variables('namingInfix'))]",
       "subnetName": "[format('{0}subnet', variables('namingInfix'))]",
       "loadBalancerName": "[format('{0}lb', variables('namingInfix'))]",
       "natPoolName": "[format('{0}natpool', variables('namingInfix'))]",
       "bePoolName": "[format('{0}bepool', variables('namingInfix'))]",
       "natStartPort": 50000,
       "natEndPort": 50119,
       "natBackendPort": 3389,
       "nicName": "[format('{0}nic', variables('namingInfix'))]",
       "ipConfigName": "[format('{0}ipconfig', variables('namingInfix'))]",
       "imageReference": {
         "2022-datacenter-azure-edition": {
           "publisher": "MicrosoftWindowsServer",
           "offer": "WindowsServer",
           "sku": "[parameters('sku')]",
           "version": "latest"
         }
       },
       "extensionName": "GuestAttestation",
       "extensionPublisher": "Microsoft.Azure.Security.WindowsAttestation",
       "extensionVersion": "1.0",
       "maaTenantName": "GuestAttestation",
       "maaEndpoint": "[substring('emptyString', 0, 0)]",
       "uefiSettingsJson": {
           "secureBootEnabled": true,
           "vTpmEnabled": true
       },
       "rollingUpgradeJson": {
         "maxBatchInstancePercent": "[parameters('maxBatchInstancePercent')]",
         "maxUnhealthyInstancePercent": "[parameters('maxUnhealthyInstancePercent')]",
         "maxUnhealthyUpgradedInstancePercent": "[parameters('maxUnhealthyUpgradedInstancePercent')]",
         "pauseTimeBetweenBatches": "[parameters('pauseTimeBetweenBatches')]"
       }
     },
     "resources": [
       {
         "type": "Microsoft.Network/virtualNetworks",
         "apiVersion": "2022-05-01",
         "name": "[variables('virtualNetworkName')]",
         "location": "[parameters('location')]",
         "properties": {
           "addressSpace": {
             "addressPrefixes": [
               "[variables('addressPrefix')]"
             ]
           },
           "subnets": [
             {
               "name": "[variables('subnetName')]",
               "properties": {
                 "addressPrefix": "[variables('subnetPrefix')]"
               }
             }
           ]
         }
       },
       {
         "type": "Microsoft.Network/publicIPAddresses",
         "apiVersion": "2022-05-01",
         "name": "[parameters('publicIpName')]",
         "location": "[parameters('location')]",
         "sku": {
           "name": "[parameters('publicIpSku')]"
         },
         "properties": {
           "publicIPAllocationMethod": "[parameters('publicIPAllocationMethod')]",
           "dnsSettings": {
             "domainNameLabel": "[parameters('dnsLabelPrefix')]"
           }
         }
       },
       {
         "type": "Microsoft.Network/loadBalancers",
         "apiVersion": "2022-05-01",
         "name": "[variables('loadBalancerName')]",
         "location": "[parameters('location')]",
         "sku": {
           "name": "[parameters('publicIpSku')]",
           "tier": "Regional"
         },
         "properties": {
           "frontendIPConfigurations": [
             {
               "name": "LoadBalancerFrontEnd",
               "properties": {
                 "publicIPAddress": {
                   "id": "[resourceId('Microsoft.Network/publicIPAddresses', parameters('publicIpName'))]"
                 }
               }
             }
           ],
           "backendAddressPools": [
             {
               "name": "[variables('bePoolName')]"
             }
           ],
           "inboundNatPools": [
             {
               "name": "[variables('natPoolName')]",
               "properties": {
                 "frontendIPConfiguration": {
                   "id": "[resourceId('Microsoft.Network/loadBalancers/frontendIPConfigurations', variables('loadBalancerName'), 'loadBalancerFrontEnd')]"
                 },
                 "protocol": "Tcp",
                 "frontendPortRangeStart": "[variables('natStartPort')]",
                 "frontendPortRangeEnd": "[variables('natEndPort')]",
                 "backendPort": "[variables('natBackendPort')]"
               }
             }
           ]
         },
         "dependsOn": [
           "[resourceId('Microsoft.Network/publicIPAddresses', parameters('publicIpName'))]"
         ]
       },
       {
         "type": "Microsoft.Compute/virtualMachineScaleSets",
         "apiVersion": "2022-03-01",
         "name": "[parameters('vmssName')]",
         "location": "[parameters('location')]",
         "sku": {
           "name": "[parameters('vmSku')]",
           "tier": "Standard",
           "capacity": "[parameters('instanceCount')]"
         },
         "properties": {
           "virtualMachineProfile": {
             "storageProfile": {
               "osDisk": {
                 "createOption": "FromImage",
                 "caching": "ReadWrite"
               },
               "imageReference": "[variables('imageReference')[parameters('sku')]]"
             },
             "osProfile": {
               "computerNamePrefix": "[variables('namingInfix')]",
               "adminUsername": "[parameters('adminUsername')]",
               "adminPassword": "[parameters('adminPassword')]"
             },
             "securityProfile": {
                 "encryptionAtHost": "[parameters('encryptionAtHost')]",
                 "securityType": "[parameters('securityType')]",
                 "uefiSettings": "[if(equals(parameters('securityType'), 'TrustedLaunch'), variables('uefiSettingsJson'), null())]"
                 
             },
             "networkProfile": {
               "networkInterfaceConfigurations": [
                 {
                   "name": "[variables('nicName')]",
                   "properties": {
                     "primary": true,
                     "ipConfigurations": [
                       {
                         "name": "[variables('ipConfigName')]",
                         "properties": {
                           "subnet": {
                             "id": "[resourceId('Microsoft.Network/virtualNetworks/subnets', variables('virtualNetworkName'), variables('subnetName'))]"
                           },
                           "loadBalancerBackendAddressPools": [
                             {
                               "id": "[resourceId('Microsoft.Network/loadBalancers/backendAddressPools', variables('loadBalancerName'), variables('bePoolName'))]"
                             }
                           ],
                           "loadBalancerInboundNatPools": [
                             {
                               "id": "[resourceId('Microsoft.Network/loadBalancers/inboundNatPools', variables('loadBalancerName'), variables('natPoolName'))]"
                             }
                           ]
                         }
                       }
                     ]
                   }
                 }
               ]
             },
             "extensionProfile": {
               "extensions": [
                 {
                   "name": "HealthExtension",
                   "properties": {
                     "publisher": "Microsoft.ManagedServices",
                     "type": "ApplicationHealthWindows",
                     "typeHandlerVersion": "1.0",
                     "autoUpgradeMinorVersion": false,
                     "settings": {
                       "protocol": "[parameters('healthExtensionProtocol')]",
                       "port": "[parameters('healthExtensionPort')]",
                       "requestPath": "[if(equals(parameters('healthExtensionProtocol'), 'TCP'), null(), parameters('healthExtensionRequestPath'))]"
                     }
                   }
                 }
               ]
             },
             "diagnosticsProfile": {
               "bootDiagnostics": {
                 "enabled": true
               }
             }
           },
           "orchestrationMode": "Uniform",
           "overprovision": "[parameters('overprovision')]",
           "upgradePolicy": {
             "mode": "[parameters('upgradePolicy')]",
             "rollingUpgradePolicy": "[if(equals(parameters('upgradePolicy'), 'Rolling'), variables('rollingUpgradeJson'), null())]",
             "automaticOSUpgradePolicy": {
               "enableAutomaticOSUpgrade": true
             }
           }
         },
         "dependsOn": [
           "[resourceId('Microsoft.Network/loadBalancers', variables('loadBalancerName'))]",
           "[resourceId('Microsoft.Network/virtualNetworks', variables('virtualNetworkName'))]"
         ]
       },
       {
         "condition": "[and(equals(parameters('securityType'), 'TrustedLaunch'), and(equals(variables('uefiSettingsJson').secureBootEnabled, true()), equals(variables('uefiSettingsJson').vTpmEnabled, true())))]",
         "type": "Microsoft.Compute/virtualMachineScaleSets/extensions",
         "apiVersion": "2022-03-01",
         "name": "[format('{0}/{1}', parameters('vmssName'), variables('extensionName'))]",
         "location": "[parameters('location')]",
         "properties": {
           "publisher": "[variables('extensionPublisher')]",
           "type": "[variables('extensionName')]",
           "typeHandlerVersion": "[variables('extensionVersion')]",
           "autoUpgradeMinorVersion": true,
           "enableAutomaticUpgrade": true,
           "settings": {
             "AttestationConfig": {
               "MaaSettings": {
                 "maaEndpoint": "[variables('maaEndpoint')]",
                 "maaTenantName": "[variables('maaTenantName')]"
               }
             }
           }
         },
         "dependsOn": [
           "[resourceId('Microsoft.Compute/virtualMachineScaleSets', parameters('vmssName'))]"
         ]
       }
     ]
   }
   

6. Wykonaj wdrożenie szablonu usługi ARM.

   $resourceGroupName = "myResourceGroup"
   $parameterFile = "folderPathToFile\parameters.json"
   $templateFile = "folderPathToFile\template.json"
   
   New-AzResourceGroupDeployment `
       -ResourceGroupName $resourceGroupName `
       -TemplateFile $templateFile -TemplateParameterFile $parameterFile
   

7. Sprawdź, czy wdrożenie zakończyło się pomyślnie. Sprawdź typ zabezpieczeń i ustawienia interfejsu UEFI zestawu skalowania jednolite przy użyciu witryny Azure Portal. Sprawdź sekcję Typ zabezpieczeń na stronie Przegląd.

   

8. Zaktualizuj wystąpienia maszyn wirtualnych ręcznie, jeśli jednolity tryb uaktualniania zestawu skalowania jest ustawiony na Manual.

   $resourceGroupName = "myResourceGroup"
   $vmssName = "VMScaleSet001"
   Update-AzVmssInstance -ResourceGroupName $resourceGroupName -VMScaleSetName $vmssName -InstanceId "0"
   

W tej sekcji przedstawiono procedurę używania interfejsu wiersza polecenia platformy Azure w celu włączenia zaufanego uruchamiania w istniejącym zestawie skalowania platformy Azure Jednolity zasób.

Upewnij się, że zainstalowano najnowszą wersję Azure CLI i zaloguj się do konta Azure za pomocą az login.

1. Zaloguj się do subskrypcji platformy Azure

   az login
   
   az account set --subscription 00000000-0000-0000-0000-000000000000
   

2. Włącz zaufane uruchamianie przy użyciu polecenia az vmss update , ustawiając wartość --security-type: TrustedLaunch, virtualMachineProfile.storageProfile.imageReference.sku: Obraz obsługiwanego systemu operacyjnego z zaufanym uruchomieniem Gen2, --vm-sku: Obsługiwany rozmiar maszyny wirtualnej z zaufanym uruchomieniem gen2.

   az vmss update --name MyScaleSet `
       --resource-group MyResourceGroup `
       --set virtualMachineProfile.storageProfile.imageReference.sku='2022-datacenter-azure-edition' `
       --security-type TrustedLaunch --enable-secure-boot $true --enable-vtpm $true
   

   Note

   Jednostka SKU obrazu systemu operacyjnego używana w az vmss update powinna pochodzić od tego samego wydawcy i z tej samej oferty obrazu systemu operacyjnego.

3. Zweryfikuj dane wyjściowe poprzedniego polecenia. securityProfile konfiguracja jest zwracana z danymi wyjściowymi polecenia.

   {
     "securityProfile": {
       "securityType": "TrustedLaunch",
       "uefiSettings": {
         "secureBootEnabled": true,
         "vTpmEnabled": true
       }
     }
   }
   

4. Zaktualizuj wystąpienia maszyn wirtualnych ręcznie, jeśli ustawiono jednolity tryb uaktualniania zestawu skalowania na Manual.

   az vmss update-instances --instance-ids 1 --name MyScaleSet --resource-group MyResourceGroup
   

5. Uruchom uaktualnianie stopniowe, jeśli tryb uaktualniania zestawu skalowania jest ustawiony na jednolity.

   az vmss rolling-upgrade start --name MyScaleSet --resource-group MyResourceGroup
   

W tej sekcji przedstawiono procedurę używania programu Azure PowerShell w celu włączenia zaufanego uruchamiania w istniejącym zestawie skalowania maszyn wirtualnych platformy Azure Uniform.

Upewnij się, że zainstalowano najnowszą wersję programu Azure PowerShell i zalogowano się na koncie platformy Azure przy użyciu polecenia Connect-AzAccount.

1. Zaloguj się do subskrypcji platformy Azure

   Connect-AzAccount -SubscriptionId 00000000-0000-0000-0000-000000000000
   

2. Włącz Zaufane uruchamianie przy użyciu polecenia Update-AzVMSS, ustawiając: -SecurityType: TrustedLaunch, ImageReferenceSku: obraz systemu operacyjnego obsługiwany przez Gen2-Zaufane uruchamianie, -SkuName: rozmiar maszyny wirtualnej obsługiwany przez Gen2-Zaufane uruchamianie.

   $vmss = Get-AzVmss -VMScaleSetName MyVmssName -ResourceGroupName MyResourceGroup
   
   # Enable Trusted Launch
   $vmss = Set-AzVmssSecurityProfile -virtualMachineScaleSet $vmss -SecurityType TrustedLaunch
   
   # Enable Trusted Launch settings
   $vmss = Set-AzVmssUefi -VirtualMachineScaleSet $vmss -EnableVtpm $true -EnableSecureBoot $true
   
   Update-AzVmss -ResourceGroupName $vmss.ResourceGroupName `
       -VMScaleSetName $vmss.Name -VirtualMachineScaleSet $vmss `
       -SecurityType TrustedLaunch -EnableVtpm $true -EnableSecureBoot $true `
       -ImageReferenceSku 2022-datacenter-azure-edition
   

   Note

   Jednostka SKU obrazu systemu operacyjnego używana w poleceniu Update-AzVMSS powinna pochodzić z tego samego wydawcy obrazów systemu operacyjnego i oferty.

3. Sprawdź, czy securityProfile konfiguracja jest zwracana przy użyciu danych wyjściowych polecenia Get-AzVMSS.

   {
     "securityProfile": {
       "securityType": "TrustedLaunch",
       "uefiSettings": {
         "secureBootEnabled": true,
         "vTpmEnabled": true
       }
     }
   }
   

4. Zaktualizuj wystąpienia maszyn wirtualnych ręcznie, jeżeli jednolity tryb uaktualniania zestawu skalowania jest ustawiony na Manual.

   Update-AzVmssInstance -ResourceGroupName "MyResourceGroup" -VMScaleSetName "MyScaleSet" -InstanceId "0"
   

5. Uruchom uaktualnienie stopniowe, jeśli jednolity tryb uaktualniania dla zestawu skalowania jest ustawiony na RollingUpgrade.

   Start-AzVmssRollingOSUpgrade -ResourceGroupName "MyResourceGroup" -VMScaleSetName "MyScaleSet"
   

1. Obraz OS: przejdź do Operating system w obszarze Settings. Kliknij Change image reference.

2. Zaktualizuj odwołanie do obrazu systemu operacyjnego do ostatniej znanej dobrej konfiguracji —> Kliknij Zastosuj.

3. Typ zabezpieczeń: Przejdź do strony Configuration w obszarze Settings — zaktualizuj rozwijane menu typu zabezpieczeń na stronie > z Configuration na Trusted launch, aby wyłączyć konfigurację zabezpieczeń Zaufane uruchamianie. Kliknij Yes , aby potwierdzić zmiany.

4. Zweryfikuj zmiany na stronie Overview zestawu skalowania.

5. Zaktualizuj wystąpienia maszyn wirtualnych ręcznie, jeśli dla zestawu skalowania ustawiono jednolity tryb uaktualniania na Manual.

Aby wycofać zmiany z opcji Zaufane uruchamianie do poprzedniej znanej dobrej konfiguracji, ustaw wartość securityProfileStandard, jak pokazano. Opcjonalnie możesz również przywrócić inne zmiany parametrów — obraz systemu operacyjnego, rozmiar maszyny wirtualnej i powtórz kroki 5–8 opisane w temacie Włączanie zaufanego uruchamiania w istniejącym zestawie skalowania

"securityProfile": {
    "securityType": "Standard",
    "uefiSettings": "[null()]"
}

Aby wycofać zmiany z funkcji Trusted Launch do poprzedniej znanej dobrej konfiguracji, ustaw --security-type na Standard zgodnie z instrukcją. Opcjonalnie można również przywrócić inne zmiany parametrów — obraz systemu operacyjnego, rozmiar maszyny wirtualnej i powtórz kroki 2–5 opisane w temacie Włącz zaufane uruchamianie w istniejącym zestawie skalowania

az vmss update --name MyScaleSet `
        --resource-group MyResourceGroup `
        --security-type Standard

Aby wycofać zmiany z funkcji Trusted Launch do poprzedniej znanej dobrej konfiguracji, ustaw -SecurityType na Standard zgodnie z instrukcją. Opcjonalnie można również przywrócić inne zmiany parametrów — obraz systemu operacyjnego, rozmiar maszyny wirtualnej i powtórz kroki 2–5 opisane w temacie Włącz zaufane uruchamianie w istniejącym zestawie skalowania

$vmss = Get-AzVmss -VMScaleSetName MyVmssName -ResourceGroupName MyResourceGroup

# roll back Trusted Launch
Set-AzVmssSecurityProfile -virtualMachineScaleSet $vmss -SecurityType Standard

Update-AzVmss -ResourceGroupName $vmss.ResourceGroupName `
    -VMScaleSetName $vmss.Name -VirtualMachineScaleSet $vmss `
    -SecurityType Standard `
    -ImageReferenceSku 2022-datacenter-azure-edition