Управление ключом защиты гостевого состояния виртуальной машины Arc в Локальной среде Azure, версия 23H2

Область применения: Azure Local 2311.2 и более поздних версий

В этой статье описывается, как управлять ключом защиты гостевого состояния виртуальной машины Arc в локальной среде Azure.

Ключ защиты гостевого состояния виртуальной машины используется для защиты состояния гостя виртуальной машины, например состояния vTPM, а неактивных данных в хранилище. Невозможно загрузить виртуальную машину доверенного запуска Arc без ключа защиты гостевой среды. Ключ хранится в хранилище ключей в локальной системе Azure, где находится виртуальная машина.

Экспорт и импорт виртуальной машины

Сначала необходимо экспортировать виртуальную машину из исходной локальной системы Azure, а затем импортировать ее в целевую локальную систему Azure.

1. Сведения о экспорте виртуальной машины из исходного кластера см. в разделе Export-VM (Hyper-V).

2. Чтобы импортировать виртуальную машину в целевой кластер, см. статью Import-VM (Hyper-V).

Передача ключа защиты гостевой виртуальной машины

После экспорта и импорта виртуальной машины выполните следующие действия, чтобы передать ключ защиты гостевого состояния виртуальной машины из исходной локальной системы Azure в целевую локальную систему Azure:

1. В целевой локальной системе Azure

Выполните следующие команды из целевой локальной системы Azure.

1. Войдите в хранилище ключей с помощью прав администратора.

   mocctl.exe security login --identity --loginpath (Get-MocConfig).mocLoginYAML --cloudFqdn (Get-MocConfig).cloudFqdn
   

2. Создайте главный ключ в целевом хранилище ключей. Выполните следующую команду.

   mocctl.exe security keyvault key create --location VirtualMachineLocation --group AzureStackHostAttestation --vault-name AzureStackTvmKeyVault --key-size 2048 --key-type RSA --name master
   

3. Скачайте файл расширенной почты (PEM) конфиденциальности.

   mocctl.exe security keyvault key download --name master --file-path C:\master.pem --vault-name AzureStackTvmKeyVault
   

2. В исходной локальной системе Azure

Выполните следующие команды из исходной локальной системы Azure.

1. Скопируйте PEM-файл из целевого кластера в исходный кластер.

2. Выполните следующий командлет, чтобы определить идентификатор виртуальной машины.

   (Get-VM -Name <vmName>).vmid  
   

3. Войдите в хранилище ключей с помощью прав администратора.

     mocctl.exe security login --identity --loginpath (Get-MocConfig).mocLoginYAML --cloudFqdn (Get-MocConfig).cloudFqdn
   

4. Экспортируйте ключ защиты гостевого состояния виртуальной машины для виртуальной машины.

   mocctl.exe security keyvault key export --vault-name AzureStackTvmKeyVault --name <vmID> --wrapping-pub-key-file C:\master.pem --out-file C:\<vmID>.json  
   

3. В целевой локальной системе Azure

Выполните следующие команды из целевой локальной системы Azure.

1. vmID Скопируйте файл vmID.json из исходного кластера в целевой кластер.

2. Импортируйте ключ защиты гостевой виртуальной машины для виртуальной машины.

   mocctl.exe security keyvault key import --key-file-path C:\<vmID>.json --name <vmID> --vault-name AzureStackTvmKeyVault --wrapping-key-name master --key-type AES --key-size 256
   

Следующие шаги

• Управление расширениями виртуальных машин.