Gerenciar chave de proteção de estado convidado do Arc VM de inicialização confiável no Azure Local, versão 23H2

Aplica-se a: Azure Local, versão 23H2

Este artigo descreve como gerenciar uma chave de proteção de estado de convidado do Arc VM de inicialização confiável no Azure Local.

Uma chave de proteção de estado de convidado de VM é usada para proteger o estado de convidado de VM, como o estado vTPM, enquanto em repouso no armazenamento. Não é possível inicializar uma VM Arc de inicialização confiável sem a chave de proteção de estado convidado. A chave é armazenada em um cofre de chaves no sistema Local do Azure onde a VM está localizada.

Exportar e importar a VM

A primeira etapa é exportar a VM do sistema Local do Azure de origem e, em seguida, importá-la para o sistema Local do Azure de destino.

1. Para exportar a VM do cluster de origem, consulte Export-VM (Hyper-V).

2. Para importar a VM para o cluster de destino, consulte Import-VM (Hyper-V).

Transferir a chave de proteção do estado do convidado da VM

Depois de exportar e importar a VM, use as seguintes etapas para transferir a chave de proteção do estado do convidado da VM do sistema Local do Azure de origem para o sistema Local do Azure de destino:

1. No sistema local do Azure de destino

Execute os seguintes comandos a partir do sistema Local do Azure de destino.

1. Entre no cofre de chaves usando privilégios administrativos.

   mocctl.exe security login --identity --loginpath (Get-MocConfig).mocLoginYAML --cloudFqdn (Get-MocConfig).cloudFqdn
   

2. Crie uma chave mestra no cofre da chave de destino. Execute o seguinte comando.

   mocctl.exe security keyvault key create --location VirtualMachineLocation --group AzureStackHostAttestation --vault-name AzureStackTvmKeyVault --key-size 2048 --key-type RSA --name master
   

3. Transfira o ficheiro Privacy Enhanced Mail (PEM).

   mocctl.exe security keyvault key download --name master --file-path C:\master.pem --vault-name AzureStackTvmKeyVault
   

2. No sistema local do Azure de origem

Execute os seguintes comandos a partir do sistema Local do Azure de origem.

1. Copie o arquivo PEM do cluster de destino para o cluster de origem.

2. Execute o cmdlet a seguir para determinar a ID da VM.

   (Get-VM -Name <vmName>).vmid  
   

3. Entre no cofre de chaves usando privilégios administrativos.

     mocctl.exe security login --identity --loginpath (Get-MocConfig).mocLoginYAML --cloudFqdn (Get-MocConfig).cloudFqdn
   

4. Exporte a chave de proteção de estado convidado da VM para a VM.

   mocctl.exe security keyvault key export --vault-name AzureStackTvmKeyVault --name <vmID> --wrapping-pub-key-file C:\master.pem --out-file C:\<vmID>.json  
   

3. No sistema Local do Azure de destino

Execute os seguintes comandos a partir do sistema Local do Azure de destino.

1. Copie o vmID arquivo e vmID.json do cluster de origem para o cluster de destino.

2. Importe a chave de proteção de estado convidado da VM para a VM.

   mocctl.exe security keyvault key import --key-file-path C:\<vmID>.json --name <vmID> --vault-name AzureStackTvmKeyVault --wrapping-key-name master --key-type AES --key-size 256
   

Próximos passos

• Gerencie extensões de VM.