Správa klíče důvěryhodného spuštění pro ochranu stavu hosta virtuálního počítače Arc v místním prostředí služby Azure

Platí pro: Azure Local 2311.2 a novější

Tento článek popisuje, jak spravovat klíč ochrany stavu hosta virtuálního počítače Arc důvěryhodného spuštění v Azure Local.

Klíč ochrany stavu hosta virtuálního počítače slouží k ochraně stavu hosta virtuálního počítače, jako je stav virtuálního počítače vTPM, zatímco neaktivní v úložišti. Není možné spustit důvěryhodný spouštěcí virtuální počítač Arc bez klíče ochrany stavu hosta. Klíč je uložený v trezoru klíčů v místním systému Azure, kde se nachází virtuální počítač.

Export a import virtuálního počítače

Prvním krokem je export virtuálního počítače ze zdrojového místního systému Azure a jeho následný import do cílového místního systému Azure.

1. Pokud chcete exportovat virtuální počítač ze zdrojového clusteru, přečtěte si téma Export-VM (Hyper-V).

2. Pokud chcete importovat virtuální počítač do cílového clusteru, přečtěte si téma Import-VM (Hyper-V).

Přenos klíče ochrany stavu hosta virtuálního počítače

Po exportu a následném importu virtuálního počítače pomocí následujícího postupu přeneste klíč ochrany stavu hosta virtuálního počítače ze zdrojového místního systému Azure do cílového místního systému Azure:

1. V cílovém místním systému Azure

Z cílového místního systému Azure spusťte následující příkazy.

1. Přihlaste se k trezoru klíčů pomocí oprávnění správce.

   mocctl.exe security login --identity --loginpath (Get-MocConfig).mocLoginYAML --cloudFqdn (Get-MocConfig).cloudFqdn
   

2. Vytvořte hlavní klíč v cílovém trezoru klíčů. Spusťte následující příkaz:

   mocctl.exe security keyvault key create --location VirtualMachineLocation --group AzureStackHostAttestation --vault-name AzureStackTvmKeyVault --key-size 2048 --key-type RSA --name master
   

3. Stáhněte si soubor PEM (Privacy Enhanced Mail).

   mocctl.exe security keyvault key download --name master --file-path C:\master.pem --vault-name AzureStackTvmKeyVault
   

2. Na zdrojovém místním systému Azure

Spusťte následující příkazy ze zdrojového místního systému Azure.

1. Zkopírujte soubor PEM z cílového clusteru do zdrojového clusteru.

2. Spuštěním následující rutiny určete ID virtuálního počítače.

   (Get-VM -Name <vmName>).vmid  
   

3. Přihlaste se k trezoru klíčů pomocí oprávnění správce.

     mocctl.exe security login --identity --loginpath (Get-MocConfig).mocLoginYAML --cloudFqdn (Get-MocConfig).cloudFqdn
   

4. Exportujte klíč ochrany stavu hosta virtuálního počítače pro virtuální počítač.

   mocctl.exe security keyvault key export --vault-name AzureStackTvmKeyVault --name <vmID> --wrapping-pub-key-file C:\master.pem --out-file C:\<vmID>.json  
   

3. V cílovém místním systému Azure

Z cílového místního systému Azure spusťte následující příkazy.

1. vmID Zkopírujte soubor ze vmID.json zdrojového clusteru do cílového clusteru.

2. Importujte klíč ochrany stavu hosta virtuálního počítače pro virtuální počítač.

   mocctl.exe security keyvault key import --key-file-path C:\<vmID>.json --name <vmID> --vault-name AzureStackTvmKeyVault --wrapping-key-name master --key-type AES --key-size 256
   

Další kroky

• Správa rozšíření virtuálních počítačů