Dela via

Hantera betrodd start av Arc VM-gästtillståndsskyddsnyckel på Azure Local, version 23H2

  • Artikel

Gäller för: Azure Local, version 23H2

I den här artikeln beskrivs hur du hanterar en betrodd startnyckel för Arc VM-gästtillståndsskydd i Azure Local.

En vm-gästtillståndsskyddsnyckel används för att skydda gästtillståndet för den virtuella datorn, till exempel vTPM-tillståndet, i vila i lagringen. Det går inte att starta en virtuell Arc-dator med betrodd start utan gästtillståndsskyddsnyckeln. Nyckeln lagras i ett nyckelvalv i det lokala Azure-systemet där den virtuella datorn finns.

Exportera och importera den virtuella datorn

Det första steget är att exportera den virtuella datorn från det lokala azure-källsystemet och sedan importera den till det lokala Azure-målsystemet.

  1. Information om hur du exporterar den virtuella datorn från källklustret finns i Export-VM (Hyper-V).

  2. Information om hur du importerar den virtuella datorn till målklustret finns i Import-VM (Hyper-V).

Överföra den virtuella datorns gästtillståndsskyddsnyckel

När du har exporterat och sedan importerat den virtuella datorn använder du följande steg för att överföra den virtuella datorns gästtillståndsskyddsnyckel från källans lokala Azure-system till det lokala Azure-målsystemet:

1. På målets lokala Azure-system

Kör följande kommandon från det lokala azure-målsystemet.

  1. Logga in på nyckelvalvet med administratörsbehörighet.

    mocctl.exe security login --identity --loginpath (Get-MocConfig).mocLoginYAML --cloudFqdn (Get-MocConfig).cloudFqdn

  2. Skapa en huvudnyckel i målnyckelvalvet. Kör följande kommando.

    mocctl.exe security keyvault key create --location VirtualMachineLocation --group AzureStackHostAttestation --vault-name AzureStackTvmKeyVault --key-size 2048 --key-type RSA --name master

  3. Ladda ned PEM-filen (Privacy Enhanced Mail).

    mocctl.exe security keyvault key download --name master --file-path C:\master.pem --vault-name AzureStackTvmKeyVault

2. På källans lokala Azure-system

Kör följande kommandon från det lokala azure-källsystemet.

  1. Kopiera PEM-filen från målklustret till källklustret.

  2. Kör följande cmdlet för att fastställa ID för den virtuella datorn.

    (Get-VM -Name <vmName>).vmid

  3. Logga in på nyckelvalvet med administratörsbehörighet.

      mocctl.exe security login --identity --loginpath (Get-MocConfig).mocLoginYAML --cloudFqdn (Get-MocConfig).cloudFqdn

  4. Exportera den virtuella datorns gästtillståndsskyddsnyckel för den virtuella datorn.

    mocctl.exe security keyvault key export --vault-name AzureStackTvmKeyVault --name <vmID> --wrapping-pub-key-file C:\master.pem --out-file C:\<vmID>.json

3. På målets lokala Azure-system

Kör följande kommandon från det lokala azure-målsystemet.

  1. vmID Kopiera filen och vmID.json från källklustret till målklustret.

  2. Importera den virtuella datorns gästtillståndsskyddsnyckel för den virtuella datorn.

    mocctl.exe security keyvault key import --key-file-path C:\<vmID>.json --name <vmID> --vault-name AzureStackTvmKeyVault --wrapping-key-name master --key-type AES --key-size 256

Nästa steg