De beveiligingssleutel voor de gaststatus van de Arc-VM beheren in Azure Local, versie 23H2

Van toepassing op: Azure Local, versie 23H2

In dit artikel wordt beschreven hoe u een beveiligingssleutel voor de gaststatus van een vertrouwde arc-VM beheert in Azure Local.

Er wordt een beveiligingssleutel voor de gaststatus van de VM gebruikt om de status van de VM-gast te beveiligen, zoals de vTPM-status, terwijl at-rest zich in de opslag bevindt. Het is niet mogelijk om een vertrouwde start-Arc-VM op te starten zonder de sleutel voor de beveiliging van gaststatussen. De sleutel wordt opgeslagen in een sleutelkluis in het lokale Azure-systeem waar de VIRTUELE machine zich bevindt.

De VIRTUELE machine exporteren en importeren

De eerste stap is het exporteren van de virtuele machine vanuit het lokale bronsysteem van Azure en het vervolgens importeren in het lokale doelsysteem van Azure.

1. Zie Export-VM (Hyper-V) als u de VIRTUELE machine uit het broncluster wilt exporteren.

2. Zie Import-VM (Hyper-V) om de VIRTUELE machine te importeren in het doelcluster.

De beveiligingssleutel van de VM-gaststatus overdragen

Nadat u de VM hebt geëxporteerd en vervolgens hebt geïmporteerd, gebruikt u de volgende stappen om de beveiligingssleutel van de VM-gaststatus over te dragen van het lokale bronsysteem van Azure naar het lokale doelsysteem van Azure:

1. Op het lokale doelsysteem van Azure

Voer de volgende opdrachten uit vanuit het lokale doelsysteem van Azure.

1. Meld u aan bij de sleutelkluis met beheerdersbevoegdheden.

   mocctl.exe security login --identity --loginpath (Get-MocConfig).mocLoginYAML --cloudFqdn (Get-MocConfig).cloudFqdn
   

2. Maak een hoofdsleutel in de doelsleutelkluis. Voer de volgende opdracht uit.

   mocctl.exe security keyvault key create --location VirtualMachineLocation --group AzureStackHostAttestation --vault-name AzureStackTvmKeyVault --key-size 2048 --key-type RSA --name master
   

3. Download het PEM-bestand (Privacy Enhanced Mail).

   mocctl.exe security keyvault key download --name master --file-path C:\master.pem --vault-name AzureStackTvmKeyVault
   

2. Op het lokale bronsysteem van Azure

Voer de volgende opdrachten uit vanuit het lokale bronsysteem van Azure.

1. Kopieer het PEM-bestand van het doelcluster naar het broncluster.

2. Voer de volgende cmdlet uit om de id van de VIRTUELE machine te bepalen.

   (Get-VM -Name <vmName>).vmid  
   

3. Meld u aan bij de sleutelkluis met beheerdersbevoegdheden.

     mocctl.exe security login --identity --loginpath (Get-MocConfig).mocLoginYAML --cloudFqdn (Get-MocConfig).cloudFqdn
   

4. Exporteer de beveiligingssleutel van de VM-gaststatus voor de VIRTUELE machine.

   mocctl.exe security keyvault key export --vault-name AzureStackTvmKeyVault --name <vmID> --wrapping-pub-key-file C:\master.pem --out-file C:\<vmID>.json  
   

3. Op het lokale doelsysteem van Azure

Voer de volgende opdrachten uit vanuit het lokale doelsysteem van Azure.

1. Kopieer het vmID en vmID.json bestand van het broncluster naar het doelcluster.

2. Importeer de beveiligingssleutel voor de gaststatus van de VM voor de VIRTUELE machine.

   mocctl.exe security keyvault key import --key-file-path C:\<vmID>.json --name <vmID> --vault-name AzureStackTvmKeyVault --wrapping-key-name master --key-type AES --key-size 256
   

Volgende stappen

• VM-extensies beheren.