Zarządzanie tworzeniem kopii zapasowych i odzyskiwaniem zaufanych maszyn wirtualnych Arc przy użyciu usługi Azure Local

Dotyczy: Azure Local 2311.2 i nowsze

W tym artykule opisano, jak ręcznie utworzyć kopię zapasową i przywrócić maszynę wirtualną Arc z uruchamianiem zaufanym na platformie Azure Local.

W przeciwieństwie do standardowych maszyn wirtualnych Azure Arc, zaufane uruchamianie maszyn wirtualnych Arc używa klucza ochrony stanu gościa maszyny wirtualnej (GSP) do ochrony tego stanu, w tym stanu wirtualnego modułu TPM (vTPM), w stanie spoczynku. Klucz GSP maszyny wirtualnej jest przechowywany w lokalnym magazynie kluczy w systemie lokalnym platformy Azure, w którym znajduje się maszyna wirtualna.

Zaufane maszyny wirtualne Arc przechowują stan gościa maszyny wirtualnej w dwóch plikach: stan gościa maszyny wirtualnej (VMGS) i stan działania maszyny wirtualnej (VMRS). Jeśli klucz GSP maszyny wirtualnej zostanie utracony, nie można uruchomić maszyny wirtualnej Trusted Launch dla Azure Arc.

Ważne jest, aby okresowo tworzyć kopie zapasowe maszyny wirtualnej Arc Trusted Launch, aby można było odzyskać maszynę wirtualną w przypadku utraty danych. Aby utworzyć kopię zapasową maszyny wirtualnej Trusted Launch, utwórz kopię zapasową wszystkich plików tej maszyny, w tym plików VMGS i VMRS. Ponadto utwórz kopię zapasową klucza GSP maszyny wirtualnej w magazynie kluczy kopii zapasowej.

Podobnie, aby przywrócić zaufaną maszynę wirtualną z usługą Arc do docelowego systemu lokalnego platformy Azure, przywróć wszystkie pliki maszyn wirtualnych, w tym pliki VMGS i VMRS. Ponadto przywróć klucz GSP maszyny wirtualnej z magazynu kluczy kopii zapasowej do innego magazynu kluczy w docelowym systemie lokalnym platformy Azure.

W poniższych sekcjach opisano, jak można utworzyć kopię zapasową maszyny wirtualnej Arc z funkcją zaufanego uruchamiania i przywrócić ją w przypadku utraty danych.

Tworzenie kopii zapasowej maszyny wirtualnej

Możesz użyć Export-VM, aby uzyskać kopię wszystkich plików maszyn wirtualnych, w tym plików VMGS i VMRS, dla wirtualnej maszyny Arc z zaufanym uruchamianiem. Następnie możesz utworzyć kopię zapasową tych plików maszyn wirtualnych.

Wykonaj następujące kroki, aby skopiować klucz GSP maszyny wirtualnej z magazynu kluczy w systemie lokalnym platformy Azure (gdzie znajduje się maszyna wirtualna) do magazynu kluczy kopii zapasowej w innym systemie lokalnym platformy Azure:

1. W systemie lokalnym platformy Azure z magazynem kluczy kopii zapasowej

Uruchom następujące polecenia w systemie lokalnym platformy Azure przy użyciu magazynu kluczy kopii zapasowej.

1. Utwórz klucz opakowujący w magazynie kluczy kopii zapasowej.

   New-MocKey -name wrappingKey -group AzureStackHostAttestation -keyvaultName AzureStackTvmKeyVault -type RSA -size 2048
   

2. Pobierz plik Privacy Enhanced Mail (PEM).

   Get-MocKeyPublicKey -name wrappingKey -group AzureStackHostAttestation -keyvaultName AzureStackTvmKeyVault -outputFile wrappingKey.pem
   

2. W systemie lokalnym platformy Azure, w którym znajduje się maszyna wirtualna

Uruchom następujące polecenia w systemie lokalnym platformy Azure.

1. Skopiuj plik PEM do systemu lokalnego platformy Azure.

2. Potwierdź węzeł przypisany do maszyny wirtualnej.

   Get-ClusterGroup <VM name>
   

3. Uruchom następujące polecenie cmdlet w węźle właściciela, aby określić identyfikator maszyny wirtualnej.

   (Get-VM -Name <VM name>).vmid
   

4. Wyeksportuj klucz GSP dla maszyny wirtualnej.

   Export-MocKey -name <VM ID> -wrappingKeyName wrappingKey -wrappingPubKeyFile wrappingKey.pem -outFile <VM ID>.json -group AzureStackHostAttestation -keyvaultName AzureStackTvmKeyVault -size 256
   

3. W systemie lokalnym platformy Azure z magazynem kluczy kopii zapasowej

Uruchom następujące kroki w systemie lokalnym platformy Azure.

1. Skopiuj plik <VM ID> i <VM ID>.json do systemu lokalnego platformy Azure.

2. Zaimportuj klucz GSP dla maszyny wirtualnej do magazynu kluczy kopii zapasowej.

   Import-MocKey -name <VM ID> -importKeyFile <VM ID>.json -group AzureStackHostAttestation -keyvaultName AzureStackTvmKeyVault -type AES -size 256
   

Przywracanie maszyny wirtualnej

W przypadku utraty danych użyj kopii zapasowej plików maszyny wirtualnej i przywróć maszynę wirtualną do docelowego systemu lokalnego platformy Azure przy użyciu Import-VM. Spowoduje to przywrócenie wszystkich plików maszyn wirtualnych, w tym plików VMGS i VMRS.

Wykonaj następujące kroki, aby skopiować klucz GSP maszyny wirtualnej z magazynu kluczy kopii zapasowej w systemie lokalnym platformy Azure (gdzie kopia zapasowa klucza GSP maszyny wirtualnej została zapisana) do magazynu kluczy w docelowym systemie lokalnym platformy Azure (gdzie maszyna wirtualna musi zostać przywrócona).

Uwaga

Zaufane maszyny wirtualne platformy Arc przywrócone na alternatywnym lokalnym systemie Azure (innym niż ten, w którym pierwotnie znajdowała się maszyna wirtualna) nie mogą być zarządzane za pomocą płaszczyzny sterowania Azure.

1. W źródłowym systemie lokalnym platformy Azure, w którym należy przywrócić maszynę wirtualną

Uruchom następujące polecenia w systemie lokalnym platformy Azure.

1. Utwórz klucz opakowujący w magazynie kluczy.

   New-MocKey -name wrappingKey -group AzureStackHostAttestation -keyvaultName AzureStackTvmKeyVault -type RSA -size 2048
   

2. Pobierz plik Privacy Enhanced Mail (PEM).

   Get-MocKeyPublicKey -name wrappingKey -group AzureStackHostAttestation -keyvaultName AzureStackTvmKeyVault -outputFile wrappingKey.pem
   

2. W lokalnym systemie platformy Azure z magazynem kluczy do kopii zapasowej

Uruchom następujące polecenia w systemie lokalnym platformy Azure.

1. Skopiuj plik PEM do systemu lokalnego platformy Azure.

2. Pobierz <VM ID> z plików maszyny wirtualnej przechowywanych na dysku (niezależnie od lokalizacji). Plik konfiguracji maszyny wirtualnej (.xml) ma <VM ID> jako nazwę. Możesz również użyć następującego polecenia, aby uzyskać <VM ID>, jeśli znasz nazwę maszyny wirtualnej. Ten krok należy wykonać na hoście Hyper-V zawierającym pliki maszyny wirtualnej.

   (Get-VM -Name <VM name>).vmid
   

3. Wyeksportuj klucz GSP maszyny wirtualnej.

   Export-MocKey -name <VM ID> -wrappingKeyName wrappingKey -wrappingPubKeyFile wrappingKey.pem -outFile <VM ID>.json -group AzureStackHostAttestation -keyvaultName AzureStackTvmKeyVault -size 256
   

3. W systemie lokalnym platformy Azure, w którym należy przywrócić maszynę wirtualną

Uruchom następujące polecenia z docelowego systemu lokalnego platformy Azure.

1. Skopiuj plik <VM ID> i <VM ID>.json do systemu lokalnego platformy Azure.

2. Zaimportuj klucz GSP dla maszyny wirtualnej.

   Import-MocKey -name <VM ID> -importKeyFile <VM ID>.json -group AzureStackHostAttestation -keyvaultName AzureStackTvmKeyVault -type AES -size 256
   

   Uwaga

   Przywróć klucz GSP maszyny wirtualnej (wykonaj powyższe kroki) przed uruchomieniem maszyny wirtualnej w systemie lokalnym platformy Azure (gdzie należy przywrócić maszynę wirtualną). Gwarantuje to, że maszyna wirtualna używa przywróconego klucza GSP VM. W przeciwnym razie tworzenie maszyny wirtualnej zakończy się niepowodzeniem, a nowy klucz GSP maszyny wirtualnej zostanie utworzony przez system. Jeśli tak się stanie z błędem (błąd człowieka), usuń klucz GSP maszyny wirtualnej, a następnie powtórz kroki, aby przywrócić klucz GSP maszyny wirtualnej.

   Remove-MocKey -name <vm id> -group AzureStackHostAttestation -keyvaultName > AzureStackTvmKeyVault
   

Następne kroki

• Zarządzanie rozszerzeniami maszyn wirtualnych.