Administrar la clave de protección del estado de invitados de la VM Arc con inicio seguro en Azure Local

Se aplica a: Azure Local 2311.2 y versiones posteriores

En este artículo se describe cómo administrar una clave de protección de estado de invitado de máquina virtual arc de inicio seguro en Azure Local.

Se usa una clave de protección de estado de invitado de máquina virtual para proteger el estado de invitado de la máquina virtual, como el estado de vTPM, mientras está en reposo en el almacenamiento. No es posible arrancar una máquina virtual de Arc de inicio seguro sin la clave de protección de estado de invitado. La clave se almacena en un almacén de claves en el sistema local de Azure donde se encuentra la máquina virtual.

Exportación e importación de la máquina virtual

El primer paso es exportar la máquina virtual desde el sistema local de Azure de origen y, a continuación, importarla en el sistema local de Azure de destino.

1. Para exportar la máquina virtual desde el clúster de origen, consulte Export-VM (Hyper-V).

2. Para importar la máquina virtual al clúster de destino, consulte Import-VM (Hyper-V).

Transferencia de la clave de protección de estado de invitado de la máquina virtual

Después de exportar y luego importar la máquina virtual, siga estos pasos para transferir la clave de protección de estado de invitado de la máquina virtual desde el sistema local de Azure local de origen al sistema local de Azure de destino:

1. En el sistema local de Azure de destino

Ejecute los siguientes comandos desde el sistema local de Azure de destino.

1. Inicie sesión en el almacén de claves con privilegios administrativos.

   mocctl.exe security login --identity --loginpath (Get-MocConfig).mocLoginYAML --cloudFqdn (Get-MocConfig).cloudFqdn
   

2. Cree una clave maestra en el almacén de claves de destino. Ejecute el siguiente comando:

   mocctl.exe security keyvault key create --location VirtualMachineLocation --group AzureStackHostAttestation --vault-name AzureStackTvmKeyVault --key-size 2048 --key-type RSA --name master
   

3. Descargue el archivo Correo mejorado de privacidad (PEM).

   mocctl.exe security keyvault key download --name master --file-path C:\master.pem --vault-name AzureStackTvmKeyVault
   

2. En el sistema local de Azure de origen

Ejecute los comandos siguientes desde el sistema local de Azure de origen.

1. Copie el archivo PEM del clúster de destino en el clúster de origen.

2. Ejecute el siguiente cmdlet para determinar el identificador de la máquina virtual.

   (Get-VM -Name <vmName>).vmid  
   

3. Inicie sesión en el almacén de claves con privilegios administrativos.

     mocctl.exe security login --identity --loginpath (Get-MocConfig).mocLoginYAML --cloudFqdn (Get-MocConfig).cloudFqdn
   

4. Exporte la clave de protección de estado de invitado de la máquina virtual para la máquina virtual.

   mocctl.exe security keyvault key export --vault-name AzureStackTvmKeyVault --name <vmID> --wrapping-pub-key-file C:\master.pem --out-file C:\<vmID>.json  
   

3. En el sistema local de Azure de destino

Ejecute los siguientes comandos desde el sistema local de Azure de destino.

1. Copie el vmID archivo y vmID.json del clúster de origen en el clúster de destino.

2. Importe la clave de protección de estado de invitado de la máquina virtual para la máquina virtual.

   mocctl.exe security keyvault key import --key-file-path C:\<vmID>.json --name <vmID> --vault-name AzureStackTvmKeyVault --wrapping-key-name master --key-type AES --key-size 256
   

Pasos siguientes

• Administrar extensiones de máquina virtual.