Gérer la clé de protection de l’état invité de machine virtuelle Arc de lancement approuvé sur Azure Local, version 23H2
S’applique à : Azure Local 2311.2 et versions ultérieures
Cet article explique comment gérer une clé de protection d’état invité de machine virtuelle Arc de lancement approuvé sur Azure Local.
Une clé de protection d’état invité de machine virtuelle est utilisée pour protéger l’état invité de la machine virtuelle, comme l’état vTPM, tandis qu’au repos dans le stockage. Il n’est pas possible de démarrer une machine virtuelle Arc de lancement approuvée sans la clé de protection de l’état invité. La clé est stockée dans un coffre de clés dans le système local Azure où se trouve la machine virtuelle.
Exporter et importer la machine virtuelle
La première étape consiste à exporter la machine virtuelle à partir du système local Azure source, puis à l’importer dans le système local Azure cible.
Pour exporter la machine virtuelle à partir du cluster source, consultez Export-VM (Hyper-V).
Pour importer la machine virtuelle dans le cluster cible, consultez Import-VM (Hyper-V).
Transférer la clé de protection de l’état invité de la machine virtuelle
Une fois que vous avez exporté et importé la machine virtuelle, procédez comme suit pour transférer la clé de protection de l’état invité de la machine virtuelle du système local Azure source vers le système local Azure cible :
1. Sur le système local Azure cible
Exécutez les commandes suivantes à partir du système local Azure cible.
Connectez-vous au coffre de clés à l’aide de privilèges d’administration.
mocctl.exe security login --identity --loginpath (Get-MocConfig).mocLoginYAML --cloudFqdn (Get-MocConfig).cloudFqdn
Créez une clé principale dans le coffre de clés cible. Exécutez la commande suivante :
mocctl.exe security keyvault key create --location VirtualMachineLocation --group AzureStackHostAttestation --vault-name AzureStackTvmKeyVault --key-size 2048 --key-type RSA --name master
Téléchargez le fichier PEM (Privacy Enhanced Mail).
mocctl.exe security keyvault key download --name master --file-path C:\master.pem --vault-name AzureStackTvmKeyVault
2. Sur le système local Azure source
Exécutez les commandes suivantes à partir du système local Azure source.
Copiez le fichier PEM du cluster cible vers le cluster source.
Exécutez l’applet de commande suivante pour déterminer l’ID de la machine virtuelle.
(Get-VM -Name <vmName>).vmid
Connectez-vous au coffre de clés à l’aide de privilèges d’administration.
mocctl.exe security login --identity --loginpath (Get-MocConfig).mocLoginYAML --cloudFqdn (Get-MocConfig).cloudFqdn
Exportez la clé de protection de l’état invité de la machine virtuelle.
mocctl.exe security keyvault key export --vault-name AzureStackTvmKeyVault --name <vmID> --wrapping-pub-key-file C:\master.pem --out-file C:\<vmID>.json
3. Sur le système local Azure cible
Exécutez les commandes suivantes à partir du système local Azure cible.
Copiez le fichier et
vmID
levmID.json
fichier du cluster source vers le cluster cible.Importez la clé de protection de l’état invité de la machine virtuelle.
mocctl.exe security keyvault key import --key-file-path C:\<vmID>.json --name <vmID> --vault-name AzureStackTvmKeyVault --wrapping-key-name master --key-type AES --key-size 256
Étapes suivantes
- Gérer les extensions de machine virtuelle.