Wprowadzenie do zaufanego uruchamiania maszyn wirtualnych usługi Azure Arc w środowisku lokalnym platformy Azure
Dotyczy: Azure Local 2311.2 i nowsze
W tym artykule przedstawiono zaufane uruchamianie maszyn wirtualnych usługi Azure Arc w środowisku lokalnym platformy Azure. Możesz utworzyć zaufaną maszynę wirtualną z usługą Arc do uruchamiania przy użyciu witryny Azure Portal lub interfejsu wiersza polecenia platformy Azure.
Wprowadzenie
Zaufane uruchamianie dla maszyn wirtualnych Azure Arc umożliwia bezpieczny rozruch, instaluje wirtualne urządzenie Trusted Platform Module (vTPM), automatycznie przesyła stan vTPM, gdy maszyna wirtualna migruje lub przechodzi w stan awaryjny na inną maszynę w systemie i obsługuje możliwość poświadczenia, czy maszyna wirtualna została uruchomiona w znanym dobrym stanie.
Zaufane uruchamianie to typ zabezpieczeń, który można określić podczas tworzenia maszyn wirtualnych usługi Arc w środowisku lokalnym platformy Azure. Aby uzyskać więcej informacji, zobacz Zaufane uruchamianie maszyn wirtualnych usługi Azure Arc w środowisku lokalnym platformy Azure.
Funkcje i korzyści
| Zdolność | Korzyści |
|---|---|
| Bezpieczny rozruch | Pomaga zmniejszyć ryzyko złośliwego oprogramowania (rootkits) podczas rozruchu, sprawdzając, czy składniki rozruchowe są podpisane przez zaufanych wydawców. |
| VTPM | Zwirtualizowana wersja sprzętowego modułu TPM, który służy jako dedykowany magazyn kluczy, certyfikatów i wpisów tajnych. |
| Przeniesienie stanu vTPM | Zachowuje vTPM podczas migracji maszyny wirtualnej lub przechodzenia w tryb failover w klastrze. |
| Zabezpieczenia oparte na wirtualizacji (VBS) | Gość na maszynie wirtualnej może tworzyć izolowane regiony pamięci przy użyciu obsługi języka VBS. |
Uwaga
Weryfikacja integralności rozruchu gościa maszyny wirtualnej jest niedostępna.
Wskazówki
IgvmAgent to składnik zainstalowany na wszystkich maszynach w systemie lokalnym platformy Azure. Umożliwia obsługę izolowanych maszyn wirtualnych, takich jak na przykład maszyny wirtualne z zaufanym uruchamianiem w usłudze Arc.
W ramach tworzenia zaufanej maszyny wirtualnej w usłudze Arc, Hyper-V tworzy pliki maszyn wirtualnych w domyślnej lokalizacji na dysku, aby przechowywać stan maszyny wirtualnej. Domyślnie dostęp do tych plików maszyn wirtualnych jest ograniczony tylko do administratorów serwera hosta. Jeśli przechowujesz te pliki maszyn wirtualnych w innej lokalizacji, musisz upewnić się, że lokalizacja ma dostęp ograniczony tylko do administratorów serwera hosta.
Ruch sieciowy migracji na żywo maszyny wirtualnej nie jest szyfrowany. Zdecydowanie zalecamy włączenie technologii szyfrowania warstwy sieciowej, takiej jak IPsec, aby chronić ruch sieciowy migracji na żywo.
Obrazy systemu operacyjnego gościa
Obsługiwane są wszystkie obrazy systemu Windows 11 (z wyjątkiem SKU Windows 11 24H2) i Windows Server 2022 z Azure Marketplace, które są obsługiwane przez maszyny wirtualne Azure Arc. Aby uzyskać listę wszystkich obsługiwanych obrazów systemu Windows 11, zobacz Tworzenie lokalnego obrazu maszyny wirtualnej platformy Azure przy użyciu obrazów z Azure Marketplace.
Uwaga
Obrazy gości maszyn wirtualnych uzyskane poza platformą Azure Marketplace nie są obsługiwane.
Zagadnienia dotyczące tworzenia kopii zapasowych i odzyskiwania po awarii
Podczas pracy z zaufanymi maszynami wirtualnymi uruchamiania Arc upewnij się, że znasz następujące kluczowe kwestie i ograniczenia związane z kopiami zapasowymi i odzyskiwaniem:
Różnice między zaufanym uruchamianiem maszyn wirtualnych Azure Arc a standardowymi maszynami wirtualnymi Azure Arc: W przeciwieństwie do standardowych maszyn wirtualnych usługi Azure Arc, zaufane uruchamianie maszyn wirtualnych Azure Arc używa klucza do ochrony stanu gościa maszyny wirtualnej w celu ochrony stanu gościa maszyny wirtualnej, w tym stanu wirtualnego modułu TPM (vTPM) w stanie spoczynku. Klucz ochrony maszyny wirtualnej jest przechowywany w lokalnym magazynie kluczy w systemie lokalnym platformy Azure, w którym znajduje się maszyna wirtualna. Zaufane maszyny wirtualne usługi Arc przechowują stan gościa maszyny wirtualnej w dwóch plikach: stan gościa maszyny wirtualnej i stan środowiska uruchomieniowego maszyny wirtualnej. Aby utworzyć kopię zapasową i przywrócić zaufaną maszynę wirtualną, rozwiązanie kopii zapasowej musi utworzyć kopię zapasową i przywrócić wszystkie pliki maszyny wirtualnej, w tym stan gościa i pliki stanu środowiska uruchomieniowego, a także utworzyć kopię zapasową i przywrócić klucz ochrony maszyny wirtualnej.
Narzędzia do tworzenia kopii zapasowych i odzyskiwania po awarii: Obecnie Trusted launch Arc VMs nie obsługują żadnych narzędzi do tworzenia kopii zapasowych i odzyskiwania po awarii, w tym zarówno należących do firm trzecich, jak i Microsoft, takich jak Azure Backup, Azure Site Recovery, Veeam i Commvault. Jeśli wystąpi potrzeba przeniesienia zaufanego uruchomienia Arc TVM do alternatywnego klastra, zobacz proces ręczny ręczne tworzenie kopii zapasowych i odzyskiwanie zaufanego uruchomienia Arc VMs w celu zarządzania wszystkimi wymaganymi plikami i kluczem zabezpieczającym maszynę wirtualną, aby upewnić się, że maszyna wirtualna może zostać pomyślnie przywrócona.
Uwaga
Zaufane maszyny wirtualne Arc przywrócone na alternatywnym lokalnym systemie Azure nie mogą być zarządzane z poziomu płaszczyzny sterowania Azure.