Verwalten des vertrauenswürdigen Starts des Gaststatusschutzschlüssels arc VM in Azure Local, Version 23H2
Gilt für: Azure Local, Version 23H2
In diesem Artikel wird beschrieben, wie Sie einen Gaststatusschutzschlüssel für arc VM mit vertrauenswürdigem Start in Azure Local verwalten.
Ein VM-Gaststatusschutzschlüssel wird verwendet, um den Gastzustand des virtuellen Computers wie den vTPM-Zustand zu schützen, während er sich im Speicher befindet. Es ist nicht möglich, einen vertrauenswürdigen Arc-VIRTUELLEN Start ohne den Gaststatusschutzschlüssel zu starten. Der Schlüssel wird in einem Schlüsseltresor im lokalen Azure-System gespeichert, in dem sich der virtuelle Computer befindet.
Exportieren und Importieren der VM
Der erste Schritt besteht darin, den virtuellen Computer aus dem lokalen Quellsystem von Azure zu exportieren und dann in das lokale Zielsystem von Azure zu importieren.
Informationen zum Exportieren des virtuellen Computers aus dem Quellcluster finden Sie unter "Export-VM (Hyper-V)".
Informationen zum Importieren der VM in den Zielcluster finden Sie unter "Import-VM (Hyper-V)".
Übertragen des Vm-Gaststatusschutzschlüssels
Nachdem Sie den virtuellen Computer exportiert und dann importiert haben, führen Sie die folgenden Schritte aus, um den Schutzschlüssel für den VM-Gaststatus aus dem lokalen Quellsystem von Azure in das lokale Zielsystem von Azure zu übertragen:
1. Auf dem lokalen Zielsystem von Azure
Führen Sie die folgenden Befehle aus dem Azure Local-Zielsystem aus.
Melden Sie sich mit Administratorrechten beim Schlüsseltresor an.
mocctl.exe security login --identity --loginpath (Get-MocConfig).mocLoginYAML --cloudFqdn (Get-MocConfig).cloudFqdn
Erstellen Sie einen Hauptschlüssel im Zielschlüsseltresor. Führen Sie den folgenden Befehl aus.
mocctl.exe security keyvault key create --location VirtualMachineLocation --group AzureStackHostAttestation --vault-name AzureStackTvmKeyVault --key-size 2048 --key-type RSA --name master
Laden Sie die Datei Privacy Enhanced Mail (PEM) herunter.
mocctl.exe security keyvault key download --name master --file-path C:\master.pem --vault-name AzureStackTvmKeyVault
2. Auf dem lokalen Quellsystem von Azure
Führen Sie die folgenden Befehle aus dem lokalen Azure-Quellsystem aus.
Kopieren Sie die PEM-Datei aus dem Zielcluster in den Quellcluster.
Führen Sie das folgende Cmdlet aus, um die ID der VM zu ermitteln.
(Get-VM -Name <vmName>).vmid
Melden Sie sich mit Administratorrechten beim Schlüsseltresor an.
mocctl.exe security login --identity --loginpath (Get-MocConfig).mocLoginYAML --cloudFqdn (Get-MocConfig).cloudFqdn
Exportieren Sie den Vm-Gaststatusschutzschlüssel für den virtuellen Computer.
mocctl.exe security keyvault key export --vault-name AzureStackTvmKeyVault --name <vmID> --wrapping-pub-key-file C:\master.pem --out-file C:\<vmID>.json
3. Im Lokalen Zielsystem von Azure
Führen Sie die folgenden Befehle aus dem Azure Local-Zielsystem aus.
Kopieren Sie die
vmID
Datei ausvmID.json
dem Quellcluster in den Zielcluster.Importieren Sie den Vm-Gaststatusschutzschlüssel für den virtuellen Computer.
mocctl.exe security keyvault key import --key-file-path C:\<vmID>.json --name <vmID> --vault-name AzureStackTvmKeyVault --wrapping-key-name master --key-type AES --key-size 256