Zarządzanie kluczem ochrony stanu gościa zaufanej maszyny wirtualnej usługi Arc w usłudze Azure Local w wersji 23H2

Dotyczy: Azure Local 2311.2 i nowsze

W tym artykule opisano sposób zarządzania kluczem ochrony stanu gościa zaufanej maszyny wirtualnej usługi Arc w usłudze Azure Local.

Klucz ochrony stanu gościa maszyny wirtualnej służy do ochrony stanu gościa maszyny wirtualnej, na przykład stanu vTPM, podczas gdy magazynowane są w magazynie. Nie można uruchomić zaufanej maszyny wirtualnej z usługą Arc bez klucza ochrony stanu gościa. Klucz jest przechowywany w magazynie kluczy w systemie lokalnym platformy Azure, w którym znajduje się maszyna wirtualna.

Eksportowanie i importowanie maszyny wirtualnej

Pierwszym krokiem jest wyeksportowanie maszyny wirtualnej ze źródłowego systemu lokalnego platformy Azure, a następnie zaimportowanie jej do docelowego systemu lokalnego platformy Azure.

1. Aby wyeksportować maszynę wirtualną z klastra źródłowego, zobacz Eksportowanie maszyny wirtualnej (Hyper-V).

2. Aby zaimportować maszynę wirtualną do klastra docelowego, zobacz Import-VM (Hyper-V).

Przenoszenie klucza ochrony stanu gościa maszyny wirtualnej

Po wyeksportowaniu i zaimportowaniu maszyny wirtualnej wykonaj następujące kroki, aby przenieść klucz ochrony stanu gościa maszyny wirtualnej ze źródłowego systemu lokalnego platformy Azure do docelowego systemu lokalnego platformy Azure:

1. W docelowym systemie lokalnym platformy Azure

Uruchom następujące polecenia z docelowego systemu lokalnego platformy Azure.

1. Zaloguj się do magazynu kluczy przy użyciu uprawnień administracyjnych.

   mocctl.exe security login --identity --loginpath (Get-MocConfig).mocLoginYAML --cloudFqdn (Get-MocConfig).cloudFqdn
   

2. Utwórz klucz główny w docelowym magazynie kluczy. Uruchom następujące polecenie.

   mocctl.exe security keyvault key create --location VirtualMachineLocation --group AzureStackHostAttestation --vault-name AzureStackTvmKeyVault --key-size 2048 --key-type RSA --name master
   

3. Pobierz plik Poczta rozszerzona o prywatność (PEM).

   mocctl.exe security keyvault key download --name master --file-path C:\master.pem --vault-name AzureStackTvmKeyVault
   

2. W źródłowym systemie lokalnym platformy Azure

Uruchom następujące polecenia ze źródłowego systemu lokalnego platformy Azure.

1. Skopiuj plik PEM z klastra docelowego do klastra źródłowego.

2. Uruchom następujące polecenie cmdlet, aby określić identyfikator maszyny wirtualnej.

   (Get-VM -Name <vmName>).vmid  
   

3. Zaloguj się do magazynu kluczy przy użyciu uprawnień administracyjnych.

     mocctl.exe security login --identity --loginpath (Get-MocConfig).mocLoginYAML --cloudFqdn (Get-MocConfig).cloudFqdn
   

4. Wyeksportuj klucz ochrony stanu gościa maszyny wirtualnej dla maszyny wirtualnej.

   mocctl.exe security keyvault key export --vault-name AzureStackTvmKeyVault --name <vmID> --wrapping-pub-key-file C:\master.pem --out-file C:\<vmID>.json  
   

3. W docelowym systemie lokalnym platformy Azure

Uruchom następujące polecenia z docelowego systemu lokalnego platformy Azure.

1. vmID Skopiuj plik i vmID.json z klastra źródłowego do klastra docelowego.

2. Zaimportuj klucz ochrony stanu gościa maszyny wirtualnej dla maszyny wirtualnej.

   mocctl.exe security keyvault key import --key-file-path C:\<vmID>.json --name <vmID> --vault-name AzureStackTvmKeyVault --wrapping-key-name master --key-type AES --key-size 256
   

Następne kroki

• Zarządzanie rozszerzeniami maszyn wirtualnych.