Azure Local バージョン 23H2 で信頼された起動 Arc VM ゲスト状態保護キーを管理する
適用対象: Azure Local バージョン 23H2
この記事では、Azure Local で信頼された起動 Arc VM ゲスト状態保護キーを管理する方法について説明します。
VM ゲスト状態保護キーは、ストレージに保存されている間、vTPM 状態などの VM ゲスト状態を保護するために使用されます。 ゲスト状態保護キーを使用せずに、信頼された起動 Arc VM を起動することはできません。 キーは、VM が配置されている Azure ローカル システムのキー コンテナーに格納されます。
VM のエクスポートとインポート
最初の手順では、ソースの Azure ローカル システムから VM をエクスポートし、ターゲットの Azure ローカル システムにインポートします。
ソース クラスターから VM をエクスポートするには、 Export-VM (Hyper-V)を参照してください。
ターゲット クラスターに VM をインポートするには、「 Import-VM (Hyper-V)を参照してください。
VM ゲスト状態保護キーを転送する
VM をエクスポートしてインポートした後、次の手順に従って、VM ゲスト状態保護キーをソースの Azure ローカル システムからターゲット Azure ローカル システムに転送します。
1. ターゲットの Azure ローカル システム上
ターゲットの Azure ローカル システムから次のコマンドを実行します。
管理者特権を使用してキー コンテナーにサインインします。
mocctl.exe security login --identity --loginpath (Get-MocConfig).mocLoginYAML --cloudFqdn (Get-MocConfig).cloudFqdnターゲット キー コンテナーにマスター キーを作成します。 次のコマンドを実行します。
mocctl.exe security keyvault key create --location VirtualMachineLocation --group AzureStackHostAttestation --vault-name AzureStackTvmKeyVault --key-size 2048 --key-type RSA --name masterプライバシー強化メール (PEM) ファイルをダウンロードします。
mocctl.exe security keyvault key download --name master --file-path C:\master.pem --vault-name AzureStackTvmKeyVault
2. ソースの Azure ローカル システム上
ソースの Azure ローカル システムから次のコマンドを実行します。
ターゲット クラスターからソース クラスターに PEM ファイルをコピーします。
次のコマンドレットを実行して、VM の ID を確認します。
(Get-VM -Name <vmName>).vmid管理者特権を使用してキー コンテナーにサインインします。
mocctl.exe security login --identity --loginpath (Get-MocConfig).mocLoginYAML --cloudFqdn (Get-MocConfig).cloudFqdnVM の VM ゲスト状態保護キーをエクスポートします。
mocctl.exe security keyvault key export --vault-name AzureStackTvmKeyVault --name <vmID> --wrapping-pub-key-file C:\master.pem --out-file C:\<vmID>.json
3. ターゲットの Azure ローカル システム上
ターゲットの Azure ローカル システムから次のコマンドを実行します。
ソース クラスターからターゲット クラスターに
vmIDファイルとvmID.jsonファイルをコピーします。VM の VM ゲスト状態保護キーをインポートします。
mocctl.exe security keyvault key import --key-file-path C:\<vmID>.json --name <vmID> --vault-name AzureStackTvmKeyVault --wrapping-key-name master --key-type AES --key-size 256