Общие сведения о доверенном запуске виртуальных машин Azure Arc в локальной среде Azure
Область применения: Azure Local 2311.2 и более поздних версий
В этой статье описывается доверенный запуск виртуальных машин Azure Arc в локальной среде Azure. Вы можете создать виртуальную машину доверенного запуска Arc с помощью портала Azure или с помощью интерфейса командной строки Azure (CLI).
Введение
Доверенный запуск для виртуальных машин Azure Arc обеспечивает безопасную загрузку, устанавливает устройство виртуальной доверенной платформы (vTPM), автоматически передает состояние vTPM при переносе виртуальной машины или переключении на другую машину в системе и поддерживает возможность удостовериться, что виртуальная машина была запущена в известном хорошем состоянии.
Доверенный запуск — это тип безопасности, который можно указать при создании виртуальных машин Arc в локальной среде Azure. Дополнительные сведения см. в статье "Доверенный запуск" для виртуальных машин Azure Arc в локальной среде Azure.
Возможности и преимущества
| Возможность | Преимущества |
|---|---|
| Безопасная загрузка | Помогает снизить риск вредоносных программ (rootkits) во время загрузки, убедившись, что компоненты загрузки подписаны доверенными издателями. |
| vTPM | Виртуализированная версия аппаратного доверенного платформенного модуля, используемая как специализированное хранилище для ключей, сертификатов и секретов. |
| Передача состояния vTPM | Сохраняет vTPM при миграции или отказоустойчивости виртуальной машины в кластере. |
| Безопасность на основе виртуализации (VBS) | Гостевой сервер виртуальной машины может создавать изолированные регионы памяти с помощью поддержки VBS. |
Примечание.
Проверка целостности гостевой загрузки виртуальной машины недоступна.
Руководство
IgvmAgent — это компонент, установленный на всех компьютерах в локальной системе Azure. Она обеспечивает поддержку изолированных виртуальных машин, например, таких, как доверенные виртуальные машины запуска Arc.
В рамках создания подлинного запуска виртуальной машины Arc, Hyper-V создает файлы виртуальных машин в заданном по умолчанию месте для хранения состояния виртуальной машины. По умолчанию доступ к этим файлам виртуальной машины ограничен только администраторами сервера узла. Если эти файлы виртуальных машин хранятся в другом месте, необходимо убедиться, что доступ к этому месту ограничен только администраторами серверов хостов.
Сетевой трафик динамической миграции виртуальной машины не шифруется. Настоятельно рекомендуется включить технологию шифрования сетевого слоя, такую как IPsec, для защиты сетевого трафика в процессе миграции.
Образы гостевой операционной системы
Поддерживаются все образы Windows 11 (за исключением 24H2 SKU Windows 11) и образов Windows Server 2022 из Azure Marketplace, поддерживаемых виртуальными машинами Azure Arc. Список всех поддерживаемых образов Windows 11 см. в статье Создание образа локальной виртуальной машины Azure с помощью образов Azure Marketplace.
Примечание.
Гостевые образы виртуальных машин, полученные за пределами Azure Marketplace, не поддерживаются.
Рекомендации по резервному копированию и аварийному восстановлению
При работе с доверенными виртуальными машинами Arc убедитесь в следующих ключевых рекомендациях и ограничениях, связанных с резервным копированием и восстановлением:
Различия между доверенными виртуальными машинами Arc и стандартными виртуальными машинами Arc: В отличие от стандартных виртуальных машин Azure Arc, доверенные виртуальные машины Arc используют ключ защиты состояния гостевой виртуальной машины для защиты состояния гостевой машины, включая состояние виртуальной платформы TPM (vTPM), в состоянии покоя. Ключ защиты виртуальной машины хранится в локальном хранилище ключей в локальной системе Azure, где находится виртуальная машина. Доверенные виртуальные машины запуска Arc хранят гостевое состояние виртуальной машины в двух файлах: состояние гостя виртуальной машины и состояние среды выполнения виртуальной машины. Для резервного копирования и восстановления виртуальной машины с доверенным запуском решение резервного копирования должно создавать резервные копии и восстанавливать все файлы виртуальных машин, включая гостевое состояние и файлы состояния среды выполнения, а также должно обеспечивать резервное копирование и восстановление ключа защиты виртуальных машин.
Средства резервного копирования и аварийного восстановления. В настоящее время, доверенные виртуальные машины Arc не поддерживают сторонние инструментальные средства резервного копирования и аварийного восстановления, включая, но не ограничиваясь, Azure Backup, Azure Site Recovery, Veeam и Commvault. Если возникает необходимость переместить доверенную виртуальную машину запуска Arc в альтернативный кластер, ознакомьтесь с руководством по ручному процессу резервного копирования и восстановления доверенных виртуальных машин Arc для управления всеми необходимыми файлами и ключом защиты VM, чтобы убедиться в успешном восстановлении VM.
Примечание.
Доверенные виртуальные машины запуска Arc, восстановленные в альтернативной локальной системе Azure, нельзя управлять с плоскости управления Azure.