Úvod do důvěryhodného spuštění pro virtuální počítače Azure Arc na službě Azure Local
Platí pro: Azure Local 2311.2 a novější
Tento článek představuje důvěryhodné spuštění pro virtuální počítače Azure Arc v místním prostředí Azure. Důvěryhodný spouštěcí virtuální počítač Arc můžete vytvořit pomocí webu Azure Portal nebo pomocí rozhraní příkazového řádku Azure (CLI).
Úvod
Důvěryhodné spuštění virtuálních počítačů Azure Arc umožňuje zabezpečené spuštění, nainstaluje virtuální zařízení Trusted Platform Module (vTPM), automaticky přenese stav vTPM, když dojde k migraci virtuálního počítače nebo jeho převzetí po selhání na jiný počítač v systému, a umožňuje ověřit, jestli se virtuální počítač spustil ve známém dobrém stavu.
Důvěryhodné spuštění je typ zabezpečení, který je možné zadat při vytváření virtuálních počítačů Arc v Místním prostředí Azure. Další informace najdete v tématu Důvěryhodné spuštění virtuálních počítačů Azure Arc v místním prostředí Azure.
Funkce a výhody
| Schopnost | Výhoda |
|---|---|
| Zabezpečené spuštění | Pomáhá snížit riziko malwaru (rootkits) během spouštění ověřením, že spouštěcí komponenty jsou podepsány důvěryhodnými vydavateli. |
| vTPM | Virtualizovaná verze hardwarového čipu TPM, která slouží jako vyhrazený trezor pro klíče, certifikáty a tajné kódy. |
| Přenos stavu vTPM | Zachová virtuální počítač vTPM při migraci virtuálního počítače nebo převzetí služeb při selhání v rámci clusteru. |
| Zabezpečení na základě virtualizace (VBS) | Host na virtuálním počítači může vytvářet izolované oblasti paměti pomocí podpory VBS. |
Poznámka:
Ověření integrity spouštění hosta virtuálního počítače není k dispozici.
Pokyny
IgvmAgent je komponenta nainstalovaná na všech počítačích v místním systému Azure. Umožňuje podporu izolovaných virtuálních počítačů, jako jsou například virtuální počítače Arc se spouštěním v důvěryhodném režimu.
V rámci vytváření důvěryhodného spuštění virtuálního počítače Arc Hyper-V vytvoří soubory virtuálních počítačů ve výchozím umístění na disku pro uložení stavu virtuálního počítače. Ve výchozím nastavení je přístup k těmto souborům virtuálních počítačů omezen pouze na správce hostitelského serveru. Pokud tyto soubory virtuálních počítačů uložíte do jiného umístění, musíte zajistit, aby toto umístění bylo omezeno pouze na správce hostitelského serveru.
Síťový provoz migrace za provozu virtuálního počítače není šifrovaný. Důrazně doporučujeme povolit technologii šifrování síťové vrstvy, jako je protokol IPsec, abyste ochránili síťový provoz migrace za provozu.
Image hostovaného operačního systému
Veškeré image Windows 11 (kromě verzí Windows 11 24H2) a image Windows Server 2022 z Azure Marketplace, které podporují virtuální počítače Azure Arc, jsou podporovány. Pro úplný seznam všech podporovaných obrazů Windows 11 se podívejte na Vytvoření místního obrazu VM Azure pomocí obrazů z Azure Marketplace.
Poznámka:
Image hosta virtuálního počítače získané mimo Azure Marketplace se nepodporují.
Aspekty zálohování a zotavení po havárii
Při práci s virtuálními počítači s důvěryhodným spuštěním Arc se ujistěte, že rozumíte následujícím klíčovým aspektům a omezením souvisejícím se zálohováním a obnovením:
rozdíly mezi virtuálními počítači Arc s důvěryhodným spuštěním a standardními virtuálními počítači Arc: Na rozdíl od standardních virtuálních počítačů Azure Arc používají virtuální počítače Arc s důvěryhodným spuštěním klíč ochrany hosta k ochraně jeho stavu, včetně stavu virtuálního čipu TPM (vTPM) v klidovém stavu. Klíč ochrany virtuálního počítače je uložený v místním trezoru klíčů v místním systému Azure, kde se nachází virtuální počítač. Důvěryhodné spouštění virtuálních počítačů Arc ukládá stav hosta ve dvou souborech: stav hosta a stav běhu virtuálního počítače. Pokud chcete zálohovat a obnovovat důvěryhodně spouštěný virtuální počítač, musí zálohovací řešení zálohovat a obnovovat všechny soubory virtuálního počítače, včetně stavu hosta a souborů stavu běhového prostředí, a také zálohovat a obnovovat klíč ochrany virtuálního počítače.
podpora nástrojů pro zálohování a zotavení po havárii: Důvěryhodné spouštěcí virtuální počítače Arc v současné době nepodporují žádné nástroje pro zálohování a zotavení po havárii vlastněné společností Microsoft, včetně mimo jiné, služby Azure Backup, Azure Site Recovery, Veeam a Commvault. Pokud nastane potřeba přesunout Trusted Launch Arc VM do alternativního clusteru, podívejte se na manuální proces Ruční zálohování a obnovení Trusted Launch Arc VM, abyste mohli spravovat všechny potřebné soubory a klíč ochrany virtuálního počítače a zajistit tak úspěšné obnovení virtuálního počítače.
Poznámka:
Důvěryhodné spouštěcí virtuální počítače Arc obnovené v alternativním místním systému Azure nejde spravovat z řídicí roviny Azure.