Nota
O acesso a esta página requer autorização. Podes tentar iniciar sessão ou mudar de diretório.
O acesso a esta página requer autorização. Podes tentar mudar de diretório.
Este artigo explica como o software cliente Azure Managed Lustre se comporta quando o Secure Boot está ativado em máquinas virtuais Azure (VMs). Também descreve quando deve personalizar as chaves da Secure Boot Unified Extensible Firmware Interface (UEFI) para que os módulos do kernel Azure Managed Lustre carreguem com sucesso.
Quando usar este artigo
Use este artigo se:
- Planeio ativar o Secure Boot em VMs Azure que montam um sistema de ficheiros Azure Managed Lustre.
- Caso utilize VMs Trusted Launch ou VMs Confidenciais, quero confirmar como o cliente Azure Managed Lustre se comporta.
Como funciona a assinatura de clientes Azure Managed Lustre
Os módulos do kernel cliente Azure Managed Lustre são assinados com o certificado Azure Services Linux Kmod PCA . Quando o Secure Boot está ativado numa VM, o firmware e o sistema operativo UEFI verificam que cada componente de arranque e módulo do kernel está assinado por um certificado de confiança antes de poder ser executado.
Para carregar clientes Azure Managed Lustre numa VM habilitada com Secure Boot, o certificado Kmod PCA do Azure Services Linux deve estar presente nas bases de dados de chaves confiáveis da VM. O certificado pode vir tanto do firmware UEFI como de uma imagem personalizada de VM que configura as chaves UEFI do Secure Boot.
Máquinas virtuais Trusted Launch
Para VMs com Trusted Launch ativado, o certificado Kmod PCA da Azure Services Linux já está incluído no firmware UEFI fornecido pela Azure.
Como o certificado é de confiança por padrão
- Os módulos do kernel cliente Azure Managed Lustre podem ser carregados quando o Secure Boot está ativado.
- Não precisas de nenhuma configuração extra para usar o cliente Azure Managed Lustre em VMs Trusted Launch.
Esta confiança por defeito destina-se a proporcionar uma experiência mais fluida quando instala e utiliza o software cliente Azure Managed Lustre com o Secure Boot ativado.
Para mais informações sobre o Secure Boot e a personalização de chaves UEFI para VMs Trusted Launch, consulte Trusted Launch secure boot custom UEFI keys.
Para mais informações sobre Trusted Launch VMs, consulte Trusted launch para máquinas virtuais Azure.
Máquinas virtuais confidenciais
Para VMs Azure Confidential , o certificado Kmod PCA do Azure Services Linux não está incluído por defeito no firmware UEFI. Como resultado, o Secure Boot não confia inicialmente na assinatura dos módulos do kernel Azure Managed Lustre.
Para carregar e montar com sucesso clientes Azure Managed Lustre em VMs Confidenciais com o Secure Boot ativado, deve adicionar o certificado Kmod PCA do Azure Services Linux às bases de dados de chaves confiáveis da imagem da VM, personalizando as chaves UEFI do Secure Boot.
Para orientações detalhadas sobre como personalizar chaves Secure Boot para VMs do Azure com Secure Boot ativado, consulte chaves UEFI personalizadas de arranque seguro do Trusted Launch.
Para uma visão geral das VMs confidenciais, veja O que são máquinas virtuais confidenciais Azure?.