Gerenciar backup e recuperação de VMs Arc de inicialização confiáveis no Azure Local

Aplica-se a: Azure Local 2311.2 e posterior

Este artigo descreve como fazer backup e restaurar manualmente uma VM Arc de inicialização confiável no Azure Local.

Ao contrário das VMs padrão do Azure Arc, as VMs Arc com inicialização segura utilizam uma chave de proteção do estado do convidado (GSP) para proteger o estado do convidado da VM, incluindo o estado do TPM virtual (vTPM), enquanto em repouso. A chave GSP da VM é armazenada em um cofre de chave local no sistema Local do Azure onde a VM reside.

As VMs Arc com inicialização confiável armazenam o estado da máquina virtual convidada em dois arquivos, estado da máquina virtual convidada (VMGS) e estado de tempo de execução da VM (VMRS). Se a chave GSP da VM for perdida, não é possível arrancar uma VM Arc de arranque confiável.

É importante que você faça backup de sua VM Arc de inicialização confiável periodicamente, para que possa recuperar sua VM no caso de perda de dados. Para fazer backup de uma VM de inicialização confiável, faça backup de todos os arquivos VM, incluindo arquivos VMGS e VMRS. Além disso, faça backup da chave GSP da VM em um cofre de chaves de backup.

Da mesma forma, para restaurar uma VM Arc de inicialização confiável para um sistema local do Azure de destino, restaure todos os arquivos VM, incluindo arquivos VMGS e VMRS. Além disso, restaure a chave GSP da VM do cofre da chave de backup para outro cofre de chaves no sistema local do Azure de destino.

As seções a seguir descrevem como você pode fazer backup da VM Trusted launch Arc e restaurá-la no caso de uma perda de dados.

Fazer uma cópia de segurança da VM

Você pode usar Export-VM para obter uma cópia de todos os arquivos VM, incluindo arquivos VMGS e VMRS, para sua VM Arc de inicialização confiável. Em seguida, você pode fazer backup desses arquivos VM.

Siga estas etapas para copiar a chave GSP da VM do cofre de chaves no sistema Local do Azure (onde a VM reside) para um cofre de chave de backup em um sistema Local do Azure diferente:

1. No sistema local do Azure com o cofre da chave de backup

Execute os seguintes comandos no sistema local do Azure com o cofre de chaves de backup.

1. Crie uma chave de encapsulamento no cofre de chaves de backup.

   New-MocKey -name wrappingKey -group AzureStackHostAttestation -keyvaultName AzureStackTvmKeyVault -type RSA -size 2048
   

2. Descarregue o ficheiro Privacy Enhanced Mail (PEM).

   Get-MocKeyPublicKey -name wrappingKey -group AzureStackHostAttestation -keyvaultName AzureStackTvmKeyVault -outputFile wrappingKey.pem
   

2. No sistema Local do Azure onde a VM reside

Execute os seguintes comandos no sistema Local do Azure.

1. Copie o arquivo PEM para o sistema Local do Azure.

2. Confirme o nó proprietário da máquina virtual.

   Get-ClusterGroup <VM name>
   

3. Execute o cmdlet a seguir no nó proprietário para determinar a identificação da máquina virtual.

   (Get-VM -Name <VM name>).vmid
   

4. Exporte a chave GSP para a VM.

   Export-MocKey -name <VM ID> -wrappingKeyName wrappingKey -wrappingPubKeyFile wrappingKey.pem -outFile <VM ID>.json -group AzureStackHostAttestation -keyvaultName AzureStackTvmKeyVault -size 256
   

3. No sistema local do Azure com o cofre de chaves de backup

Execute as seguintes etapas no sistema Local do Azure.

1. Copie o arquivo <VM ID> e <VM ID>.json para o sistema Local do Azure.

2. Importe a chave GSP da VM para o cofre da chave de backup.

   Import-MocKey -name <VM ID> -importKeyFile <VM ID>.json -group AzureStackHostAttestation -keyvaultName AzureStackTvmKeyVault -type AES -size 256
   

Restaurar a VM

No caso de uma perda de dados, use a cópia de backup de seus arquivos de VM e restaure a VM para um sistema Local do Azure de destino usando Import-VM. Isso restaura todos os arquivos VM, incluindo arquivos VMGS e VMRS.

Siga estas etapas para copiar a chave GSP da VM do cofre da chave de backup no sistema Local do Azure (onde a cópia de backup da chave GSP da VM foi armazenada) para o cofre da chave no sistema Local do Azure de destino (onde a VM precisa ser restaurada).

Observação

As VMs Arc de inicialização confiáveis restauradas em um sistema Local do Azure alternativo (diferente do sistema Local do Azure onde a VM residia originalmente) não podem ser gerenciadas a partir do plano de controle do Azure.

1. No sistema Azure Local de origem onde a VM precisa ser restaurada

Execute os seguintes comandos no sistema Local do Azure.

1. Crie uma chave de encapsulamento no cofre de chaves.

   New-MocKey -name wrappingKey -group AzureStackHostAttestation -keyvaultName AzureStackTvmKeyVault -type RSA -size 2048
   

2. Transfira o ficheiro Privacy Enhanced Mail (PEM).

   Get-MocKeyPublicKey -name wrappingKey -group AzureStackHostAttestation -keyvaultName AzureStackTvmKeyVault -outputFile wrappingKey.pem
   

2. No sistema Local do Azure com o cofre de chaves de backup

Execute os seguintes comandos no sistema Local do Azure.

1. Copie o arquivo PEM para o sistema Local do Azure.

2. Obtenha o <VM ID> dos arquivos VM armazenados no disco (onde quer que ele esteja localizado). Haverá um arquivo de configuração da VM (.xml) que tem o <VM ID> como nome. Você também pode usar o comando a seguir para obter o <VM ID> se souber o nome da VM. Você precisa executar esta etapa em um host Hyper-V que tenha os arquivos VM.

   (Get-VM -Name <VM name>).vmid
   

3. Exporte a chave GSP da VM para a VM.

   Export-MocKey -name <VM ID> -wrappingKeyName wrappingKey -wrappingPubKeyFile wrappingKey.pem -outFile <VM ID>.json -group AzureStackHostAttestation -keyvaultName AzureStackTvmKeyVault -size 256
   

3. No sistema Local do Azure onde a VM precisa ser restaurada

Execute os seguintes comandos a partir do sistema Local do Azure de destino.

1. Copie o arquivo <VM ID> e <VM ID>.json para o sistema Local do Azure.

2. Importe a chave GSP da VM para a VM.

   Import-MocKey -name <VM ID> -importKeyFile <VM ID>.json -group AzureStackHostAttestation -keyvaultName AzureStackTvmKeyVault -type AES -size 256
   

   Observação

   Restaure a chave GSP da VM (conclua as etapas acima) antes de iniciar a VM no sistema Local do Azure (onde a VM precisa ser restaurada). Isso garante que a VM use a chave GSP da VM restaurada. Caso contrário, a criação da VM falhará e uma nova chave GSP da VM será criada pelo sistema. Se isso acontecer por engano (erro humano), exclua a chave GSP da VM e repita as etapas para restaurar a chave GSP da VM.

   Remove-MocKey -name <vm id> -group AzureStackHostAttestation -keyvaultName > AzureStackTvmKeyVault
   

Próximos passos

• Gerencie extensões de VM.