Gerenciar a chave de proteção de estado convidado da VM do Arc de início confiável no Azure Local

Aplica-se a: Azure Local 2311.2 e posterior

Este artigo descreve como gerenciar uma chave de proteção de estado convidado da VM do Arc de inicialização confiável no Azure Local.

Uma chave de proteção de estado convidado da VM é usada para proteger o estado convidado da VM, como o estado vTPM, enquanto está em repouso no armazenamento. Não é possível inicializar uma VM do Arc de inicialização confiável sem a chave de proteção de estado convidado. A chave é armazenada em um cofre de chaves no sistema local do Azure em que a VM está localizada.

Exportar e importar a VM

A primeira etapa é exportar a VM do sistema local do Azure de origem e, em seguida, importá-la para o sistema local do Azure de destino.

1. Para exportar a VM do cluster de origem, consulte Export-VM (Hyper-V).

2. Para importar a VM para o cluster de destino, consulte Import-VM (Hyper-V).

Transferir a chave de proteção de estado convidado da VM

Depois de exportar e importar a VM, use as seguintes etapas para transferir a chave de proteção de estado convidado da VM do sistema local do Azure de origem para o sistema local do Azure de destino:

1. No sistema local do Azure de destino

Execute os comandos a seguir no sistema local do Azure de destino.

1. Entre no cofre de chaves usando privilégios administrativos.

   mocctl.exe security login --identity --loginpath (Get-MocConfig).mocLoginYAML --cloudFqdn (Get-MocConfig).cloudFqdn
   

2. Crie uma chave mestra no cofre de chaves de destino. Execute o comando a seguir.

   mocctl.exe security keyvault key create --location VirtualMachineLocation --group AzureStackHostAttestation --vault-name AzureStackTvmKeyVault --key-size 2048 --key-type RSA --name master
   

3. Baixe o arquivo PEM (Privacy Enhanced Mail).

   mocctl.exe security keyvault key download --name master --file-path C:\master.pem --vault-name AzureStackTvmKeyVault
   

2. No sistema local do Azure de origem

Execute os comandos a seguir no sistema local do Azure de origem.

1. Copie o arquivo PEM do cluster de destino para o cluster de origem.

2. Execute o cmdlet a seguir para determinar a ID da VM.

   (Get-VM -Name <vmName>).vmid  
   

3. Entre no cofre de chaves usando privilégios administrativos.

     mocctl.exe security login --identity --loginpath (Get-MocConfig).mocLoginYAML --cloudFqdn (Get-MocConfig).cloudFqdn
   

4. Exporte a chave de proteção de estado convidado da VM para a VM.

   mocctl.exe security keyvault key export --vault-name AzureStackTvmKeyVault --name <vmID> --wrapping-pub-key-file C:\master.pem --out-file C:\<vmID>.json  
   

3. No sistema local do Azure de destino

Execute os comandos a seguir no sistema local do Azure de destino.

1. Copie o vmID arquivo and vmID.json do cluster de origem para o cluster de destino.

2. Importe a chave de proteção de estado convidado da VM para a VM.

   mocctl.exe security keyvault key import --key-file-path C:\<vmID>.json --name <vmID> --vault-name AzureStackTvmKeyVault --wrapping-key-name master --key-type AES --key-size 256
   

Próximas etapas

• Gerenciar extensões de VM.