Gestire la chiave di protezione dello stato guest della macchina virtuale di avvio attendibile Arc localmente su Azure

Si applica a: Azure Local 2311.2 e versioni successive

Questo articolo descrive come gestire una chiave di protezione dello stato guest della macchina virtuale Arc di avvio attendibile in Locale di Azure.

Una chiave di protezione dello stato guest della macchina virtuale viene usata per proteggere lo stato guest della macchina virtuale, ad esempio lo stato vTPM, mentre è inattivo nell'archiviazione. Non è possibile avviare una macchina virtuale Arc di avvio attendibile senza la chiave di protezione dello stato guest. La chiave viene archiviata in un insieme di credenziali delle chiavi nel sistema locale di Azure in cui si trova la macchina virtuale.

Esportare e importare la macchina virtuale

Il primo passaggio consiste nell'esportare la macchina virtuale dal sistema locale di Azure di origine e quindi importarla nel sistema locale di Azure di destinazione.

1. Per esportare la macchina virtuale dal cluster di origine, vedere Export-VM (Hyper-V).

2. Per importare la macchina virtuale nel cluster di destinazione, vedere Import-VM (Hyper-V).

Trasferire la chiave di protezione dello stato guest della macchina virtuale

Dopo aver esportato e importato la macchina virtuale, seguire questa procedura per trasferire la chiave di protezione dello stato guest della macchina virtuale dal sistema locale di Azure di origine al sistema locale di Azure di destinazione:

1. Nel sistema locale di Azure di destinazione

Eseguire i comandi seguenti dal sistema locale di Azure di destinazione.

1. Accedere all'insieme di credenziali delle chiavi usando privilegi amministrativi.

   mocctl.exe security login --identity --loginpath (Get-MocConfig).mocLoginYAML --cloudFqdn (Get-MocConfig).cloudFqdn
   

2. Creare una chiave master nell'insieme di credenziali delle chiavi di destinazione. Esegui il comando seguente:

   mocctl.exe security keyvault key create --location VirtualMachineLocation --group AzureStackHostAttestation --vault-name AzureStackTvmKeyVault --key-size 2048 --key-type RSA --name master
   

3. Scaricare il file pem (Privacy Enhanced Mail).

   mocctl.exe security keyvault key download --name master --file-path C:\master.pem --vault-name AzureStackTvmKeyVault
   

2. Nel sistema locale di Azure di origine

Eseguire i comandi seguenti dal sistema locale di Azure di origine.

1. Copiare il file PEM dal cluster di destinazione al cluster di origine.

2. Eseguire il cmdlet seguente per determinare l'ID della macchina virtuale.

   (Get-VM -Name <vmName>).vmid  
   

3. Accedere all'insieme di credenziali delle chiavi usando privilegi amministrativi.

     mocctl.exe security login --identity --loginpath (Get-MocConfig).mocLoginYAML --cloudFqdn (Get-MocConfig).cloudFqdn
   

4. Esportare la chiave di protezione dello stato guest della macchina virtuale per la macchina virtuale.

   mocctl.exe security keyvault key export --vault-name AzureStackTvmKeyVault --name <vmID> --wrapping-pub-key-file C:\master.pem --out-file C:\<vmID>.json  
   

3. Nel sistema locale di Azure di destinazione

Eseguire i comandi seguenti dal sistema locale di Azure di destinazione.

1. Copiare il vmID file e vmID.json dal cluster di origine nel cluster di destinazione.

2. Importare la chiave di protezione dello stato guest della macchina virtuale per la macchina virtuale.

   mocctl.exe security keyvault key import --key-file-path C:\<vmID>.json --name <vmID> --vault-name AzureStackTvmKeyVault --wrapping-key-name master --key-type AES --key-size 256
   

Passaggi successivi

• Gestire le estensioni della macchina virtuale.