Správa zálohování a obnovení důvěryhodných spouštěcích virtuálních počítačů Arc v místním prostředí Azure

Platí pro: Azure Local 2311.2 a novější

Tento článek popisuje, jak ručně zálohovat a obnovit důvěryhodný spouštěcí virtuální počítač Arc v Místním prostředí Azure.

Na rozdíl od standardních virtuálních počítačů Azure Arc používají virtuální počítače Arc s důvěryhodným spuštěním klíč ochrany stavu hosta virtuálního počítače (GSP) k ochraně stavu hosta virtuálního počítače, včetně stavu virtuálního TPM (vTPM) při nečinnosti. Klíč GSP virtuálního počítače je uložený v místním trezoru klíčů v místním systému Azure, kde se nachází virtuální počítač.

Důvěryhodné spouštěcí virtuální počítače Arc ukládají stav hosta virtuálního počítače ve dvou souborech, ve stavu hosta virtuálního počítače (VMGS) a ve stavu modulu runtime virtuálního počítače (VMRS). Pokud dojde ke ztrátě klíče GSP virtuálního počítače, nemůžete spustit důvěryhodný spouštěcí virtuální počítač Arc.

Je důležité pravidelně zálohovat důvěryhodný spouštěcí virtuální počítač Arc, abyste mohli virtuální počítač obnovit v případě ztráty dat. Pokud chcete zálohovat důvěryhodný spouštěcí virtuální počítač, zálohujte všechny soubory virtuálních počítačů, včetně souborů VMGS a VMRS. Kromě toho zálohujte klíč GSP virtuálního počítače do trezoru záložních klíčů.

Podobně pokud chcete obnovit důvěryhodný spouštěcí virtuální počítač Arc do cílového místního systému Azure, obnovte všechny soubory virtuálních počítačů, včetně souborů VMGS a VMRS. Kromě toho obnovte klíč GSP virtuálního počítače z trezoru záložních klíčů do jiného trezoru klíčů v cílovém místním systému Azure.

Následující části popisují, jak můžete zálohovat Arc VM s důvěryhodným spuštěním a obnovit jej v případě ztráty dat.

Zálohujte virtuální počítač

Pomocí Export-VM můžete získat kopii všech souborů VM, včetně souborů VMGS a VMRS, pro váš důvěryhodný spuštěcí virtuální počítač Arc. Tyto soubory virtuálních počítačů pak můžete zálohovat.

Pomocí následujícího postupu zkopírujte klíč GSP virtuálního počítače z trezoru klíčů v místním systému Azure (kde se nachází virtuální počítač) do trezoru záložních klíčů v jiném místním systému Azure:

1. V místním systému Azure se službou Backup Key Vault

V místním systému Azure s trezorem klíčů zálohování spusťte následující příkazy.

1. Vytvořte obálkový klíč v trezoru pro záložní klíče.

   New-MocKey -name wrappingKey -group AzureStackHostAttestation -keyvaultName AzureStackTvmKeyVault -type RSA -size 2048
   

2. Stáhněte si soubor PEM (Privacy Enhanced Mail).

   Get-MocKeyPublicKey -name wrappingKey -group AzureStackHostAttestation -keyvaultName AzureStackTvmKeyVault -outputFile wrappingKey.pem
   

2. V místním systému Azure, kde se nachází virtuální počítač

V místním systému Azure spusťte následující příkazy.

1. Zkopírujte soubor PEM do místního systému Azure.

2. Potvrďte vlastnický uzel virtuálního počítače.

   Get-ClusterGroup <VM name>
   

3. Spuštěním následující rutiny na uzlu vlastníka určete ID virtuálního počítače.

   (Get-VM -Name <VM name>).vmid
   

4. Exportujte klíč GSP pro virtuální počítač.

   Export-MocKey -name <VM ID> -wrappingKeyName wrappingKey -wrappingPubKeyFile wrappingKey.pem -outFile <VM ID>.json -group AzureStackHostAttestation -keyvaultName AzureStackTvmKeyVault -size 256
   

3. V místním systému Azure se službou Backup Key Vault

V místním systému Azure spusťte následující kroky.

1. Zkopírujte soubor <VM ID> a <VM ID>.json do místního systému Azure.

2. Naimportujte klíč GSP pro virtuální počítač do trezoru záložních klíčů.

   Import-MocKey -name <VM ID> -importKeyFile <VM ID>.json -group AzureStackHostAttestation -keyvaultName AzureStackTvmKeyVault -type AES -size 256
   

Obnovení virtuálního počítače

V případě ztráty dat použijte záložní kopii souborů virtuálního počítače a obnovte virtuální počítač do cílového místního systému Azure pomocí importu virtuálního počítače. Tím se obnoví všechny soubory virtuálních počítačů, včetně souborů VMGS a VMRS.

Pomocí těchto kroků zkopírujte klíč GSP virtuálního počítače z trezoru záložních klíčů v místním systému Azure (kde se uložila záložní kopie klíče GSP virtuálního počítače) do trezoru klíčů v cílovém místním systému Azure (kde je potřeba virtuální počítač obnovit).

Poznámka

Virtuální počítače Arc s důvěryhodným spuštěním, které byly obnoveny na alternativním lokálním systému Azure (odlišném od toho, kde byl virtuální počítač původně umístěn), nelze spravovat z řídicí roviny Azure.

1. Na zdrojovém místním systému Azure, kde je potřeba virtuální počítač obnovit

V místním systému Azure spusťte následující příkazy.

1. Vytvořte v trezoru klíčů obtékání klíče.

   New-MocKey -name wrappingKey -group AzureStackHostAttestation -keyvaultName AzureStackTvmKeyVault -type RSA -size 2048
   

2. Stáhněte si soubor PEM (Privacy Enhanced Mail).

   Get-MocKeyPublicKey -name wrappingKey -group AzureStackHostAttestation -keyvaultName AzureStackTvmKeyVault -outputFile wrappingKey.pem
   

2. V místním systému Azure se službou Backup Key Vault

V místním systému Azure spusťte následující příkazy.

1. Zkopírujte soubor PEM do místního systému Azure.

2. Získejte <VM ID> ze souborů VM uložených na disku (bez ohledu na jejich umístění). Zobrazí se konfigurační soubor virtuálního počítače (.xml), který má jako název <VM ID>. K získání <VM ID> můžete použít také následující příkaz, pokud znáte název virtuálního počítače. Tento krok musíte provést u hostitele Hyper-V, který obsahuje soubory virtuálního počítače.

   (Get-VM -Name <VM name>).vmid
   

3. Exportujte klíč GSP pro virtuální počítač.

   Export-MocKey -name <VM ID> -wrappingKeyName wrappingKey -wrappingPubKeyFile wrappingKey.pem -outFile <VM ID>.json -group AzureStackHostAttestation -keyvaultName AzureStackTvmKeyVault -size 256
   

3. V místním systému Azure, kde je potřeba virtuální počítač obnovit

Z cílového místního systému Azure spusťte následující příkazy.

1. Zkopírujte soubor <VM ID> a <VM ID>.json do místního systému Azure.

2. Importujte klíč GSP pro virtuální počítač.

   Import-MocKey -name <VM ID> -importKeyFile <VM ID>.json -group AzureStackHostAttestation -keyvaultName AzureStackTvmKeyVault -type AES -size 256
   

   Poznámka

   Před spuštěním virtuálního počítače v místním systému Azure (kde je potřeba virtuální počítač obnovit) obnovte klíč GSP virtuálního počítače (proveďte výše uvedený postup). Tím se zajistí, že virtuální počítač použije obnovený klíč GSP virtuálního počítače. Jinak se vytvoření virtuálního počítače nezdaří a systém vytvoří nový klíč GSP virtuálního počítače. Pokud k tomu dojde omylem (chyba člověka), odstraňte klíč GSP virtuálního počítače a opakujte kroky pro obnovení klíče GSP virtuálního počítače.

   Remove-MocKey -name <vm id> -group AzureStackHostAttestation -keyvaultName > AzureStackTvmKeyVault
   

Další kroky

• Správa rozšíření virtuálních počítačů