Freigeben über


Verwalten des vertrauenswürdigen Starts des Gaststatusschutzschlüssels arc VM in Azure Local, Version 23H2

Gilt für: Azure Local, Version 23H2

In diesem Artikel wird beschrieben, wie Sie einen Gaststatusschutzschlüssel für arc VM mit vertrauenswürdigem Start in Azure Local verwalten.

Ein VM-Gaststatusschutzschlüssel wird verwendet, um den Gastzustand des virtuellen Computers wie den vTPM-Zustand zu schützen, während er sich im Speicher befindet. Es ist nicht möglich, einen vertrauenswürdigen Arc-VIRTUELLEN Start ohne den Gaststatusschutzschlüssel zu starten. Der Schlüssel wird in einem Schlüsseltresor im lokalen Azure-System gespeichert, in dem sich der virtuelle Computer befindet.

Exportieren und Importieren der VM

Der erste Schritt besteht darin, den virtuellen Computer aus dem lokalen Quellsystem von Azure zu exportieren und dann in das lokale Zielsystem von Azure zu importieren.

  1. Informationen zum Exportieren des virtuellen Computers aus dem Quellcluster finden Sie unter "Export-VM (Hyper-V)".

  2. Informationen zum Importieren der VM in den Zielcluster finden Sie unter "Import-VM (Hyper-V)".

Übertragen des Vm-Gaststatusschutzschlüssels

Nachdem Sie den virtuellen Computer exportiert und dann importiert haben, führen Sie die folgenden Schritte aus, um den Schutzschlüssel für den VM-Gaststatus aus dem lokalen Quellsystem von Azure in das lokale Zielsystem von Azure zu übertragen:

1. Auf dem lokalen Zielsystem von Azure

Führen Sie die folgenden Befehle aus dem Azure Local-Zielsystem aus.

  1. Melden Sie sich mit Administratorrechten beim Schlüsseltresor an.

    mocctl.exe security login --identity --loginpath (Get-MocConfig).mocLoginYAML --cloudFqdn (Get-MocConfig).cloudFqdn
    
  2. Erstellen Sie einen Hauptschlüssel im Zielschlüsseltresor. Führen Sie den folgenden Befehl aus.

    mocctl.exe security keyvault key create --location VirtualMachineLocation --group AzureStackHostAttestation --vault-name AzureStackTvmKeyVault --key-size 2048 --key-type RSA --name master
    
  3. Laden Sie die Datei Privacy Enhanced Mail (PEM) herunter.

    mocctl.exe security keyvault key download --name master --file-path C:\master.pem --vault-name AzureStackTvmKeyVault
    

2. Auf dem lokalen Quellsystem von Azure

Führen Sie die folgenden Befehle aus dem lokalen Azure-Quellsystem aus.

  1. Kopieren Sie die PEM-Datei aus dem Zielcluster in den Quellcluster.

  2. Führen Sie das folgende Cmdlet aus, um die ID der VM zu ermitteln.

    (Get-VM -Name <vmName>).vmid  
    
  3. Melden Sie sich mit Administratorrechten beim Schlüsseltresor an.

      mocctl.exe security login --identity --loginpath (Get-MocConfig).mocLoginYAML --cloudFqdn (Get-MocConfig).cloudFqdn
    
  4. Exportieren Sie den Vm-Gaststatusschutzschlüssel für den virtuellen Computer.

    mocctl.exe security keyvault key export --vault-name AzureStackTvmKeyVault --name <vmID> --wrapping-pub-key-file C:\master.pem --out-file C:\<vmID>.json  
    

3. Im Lokalen Zielsystem von Azure

Führen Sie die folgenden Befehle aus dem Azure Local-Zielsystem aus.

  1. Kopieren Sie die vmID Datei aus vmID.json dem Quellcluster in den Zielcluster.

  2. Importieren Sie den Vm-Gaststatusschutzschlüssel für den virtuellen Computer.

    mocctl.exe security keyvault key import --key-file-path C:\<vmID>.json --name <vmID> --vault-name AzureStackTvmKeyVault --wrapping-key-name master --key-type AES --key-size 256
    

Nächste Schritte