Azure Local 버전 23H2에서 신뢰할 수 있는 시작 Arc VM 게스트 상태 보호 키 관리
적용 대상: Azure Local, 버전 23H2
이 문서에서는 Azure Local에서 신뢰할 수 있는 시작 Arc VM 게스트 상태 보호 키를 관리하는 방법을 설명합니다.
VM 게스트 상태 보호 키는 스토리지에 있는 동안 vTPM 상태와 같은 VM 게스트 상태를 보호하는 데 사용됩니다. 게스트 상태 보호 키 없이 신뢰할 수 있는 시작 Arc VM을 부팅할 수 없습니다. 키는 VM이 있는 Azure 로컬 시스템의 키 자격 증명 모음에 저장됩니다.
VM 내보내기 및 가져오기
첫 번째 단계는 원본 Azure 로컬 시스템에서 VM을 내보낸 다음 대상 Azure 로컬 시스템으로 가져오는 것입니다.
VM 게스트 상태 보호 키 전송
VM을 내보낸 후 가져온 후 다음 단계를 사용하여 원본 Azure 로컬 시스템에서 대상 Azure 로컬 시스템으로 VM 게스트 상태 보호 키를 전송합니다.
1. 대상 Azure 로컬 시스템에서
대상 Azure 로컬 시스템에서 다음 명령을 실행합니다.
관리 권한을 사용하여 키 자격 증명 모음에 로그인합니다.
mocctl.exe security login --identity --loginpath (Get-MocConfig).mocLoginYAML --cloudFqdn (Get-MocConfig).cloudFqdn대상 키 자격 증명 모음에 마스터 키를 만듭니다. 다음 명령을 실행합니다.
mocctl.exe security keyvault key create --location VirtualMachineLocation --group AzureStackHostAttestation --vault-name AzureStackTvmKeyVault --key-size 2048 --key-type RSA --name masterPEM(개인 정보 보호 강화 메일) 파일을 다운로드합니다.
mocctl.exe security keyvault key download --name master --file-path C:\master.pem --vault-name AzureStackTvmKeyVault
2. 원본 Azure 로컬 시스템에서
원본 Azure 로컬 시스템에서 다음 명령을 실행합니다.
대상 클러스터에서 원본 클러스터로 PEM 파일을 복사합니다.
다음 cmdlet을 실행하여 VM의 ID를 확인합니다.
(Get-VM -Name <vmName>).vmid관리 권한을 사용하여 키 자격 증명 모음에 로그인합니다.
mocctl.exe security login --identity --loginpath (Get-MocConfig).mocLoginYAML --cloudFqdn (Get-MocConfig).cloudFqdnVM에 대한 VM 게스트 상태 보호 키를 내보냅니다.
mocctl.exe security keyvault key export --vault-name AzureStackTvmKeyVault --name <vmID> --wrapping-pub-key-file C:\master.pem --out-file C:\<vmID>.json
3. 대상 Azure 로컬 시스템에서
대상 Azure 로컬 시스템에서 다음 명령을 실행합니다.
vmID원본 클러스터에서 대상 클러스터로 및vmID.json파일을 복사합니다.VM에 대한 VM 게스트 상태 보호 키를 가져옵니다.
mocctl.exe security keyvault key import --key-file-path C:\<vmID>.json --name <vmID> --vault-name AzureStackTvmKeyVault --wrapping-key-name master --key-type AES --key-size 256