Dela via


Hantera säkerhetskopiering och återställning av Trusted Launch Arc-VM:er på lokal Azure

Gäller för: Azure Local 2311.2 och senare

Den här artikeln beskriver hur du manuellt säkerhetskopierar och återställer en virtuell Arc-dator med betrodd start på Azure Local.

Till skillnad från vanliga Azure Arc-virtuella datorer använder betrodda Arc-virtuella datorer en nyckel för skydd av virtuellt maskintillstånd (VM Guest State Protection, GSP) för att skydda gästtillståndet för den virtuella datorn, inklusive tillståndet för det virtuella TPM (vTPM), när de är i viloläge. Den virtuella datorns GSP-nyckel lagras i ett lokalt nyckelvalv i det lokala Azure-systemet där den virtuella datorn finns.

Virtuella Arc-VM:er med betrodd start lagrar VM:ens gästtillstånd i två filer, VM Guest state (VMGS) och VM Runtime state (VMRS). Om den virtuella datorns GSP-nyckel går förlorad kan du inte starta en virtuell Arc-dator med betrodd start.

Det är viktigt att du säkerhetskopierar den betrodda startdatorn med jämna mellanrum, så att du kan återställa den virtuella datorn i händelse av dataförlust. För att säkerhetskopiera en Betrodd start-VM, säkerhetskopiera alla VM-filer, inklusive VMGS- och VMRS-filer. Säkerhetskopiera dessutom den virtuella datorns GSP-nyckel till ett säkerhetskopieringsnyckelvalv.

På samma sätt återställer du alla VM-filer, inklusive VMGS- och VMRS-filer, för att återställa en virtuell Arc-dator med betrodd start till ett lokalt Azure-målsystem. Återställ dessutom den virtuella datorns GSP-nyckel från säkerhetskopieringsnyckelvalvet till ett annat nyckelvalv i målets lokala Azure-system.

I följande avsnitt beskrivs hur du kan säkerhetskopiera Trusted launch Arc-VM och återställa den i händelse av dataloss.

Säkerhetskopiera den virtuella datorn

Du kan använda Export-VM för att hämta en kopia av alla VM-filer, inklusive VMGS- och VMRS-filer, för den virtuella Arc-datorn med betrodd start. Du kan sedan säkerhetskopiera de virtuella datorfilerna.

Följ dessa steg för att kopiera den virtuella datorns GSP-nyckel från nyckelvalvet i det lokala Azure-systemet (där den virtuella datorn finns) till ett säkerhetskopieringsnyckelvalv i ett annat lokalt Azure-system:

1. I det lokala Azure-systemet med nyckelvalvet för säkerhetskopiering

Kör följande kommandon i det lokala Azure-systemet med nyckelvalvet för säkerhetskopiering.

  1. Skapa en omslutningsnyckel i nyckelvalvet för säkerhetskopiering.

    New-MocKey -name wrappingKey -group AzureStackHostAttestation -keyvaultName AzureStackTvmKeyVault -type RSA -size 2048
    
  2. Ladda ned PEM-filen (Privacy Enhanced Mail).

    Get-MocKeyPublicKey -name wrappingKey -group AzureStackHostAttestation -keyvaultName AzureStackTvmKeyVault -outputFile wrappingKey.pem
    

2. I det lokala Azure-systemet där den virtuella datorn finns

Kör följande kommandon i det lokala Azure-systemet.

  1. Kopiera PEM-filen till det lokala Azure-systemet.

  2. Bekräfta den virtuella datorns ägarnod.

    Get-ClusterGroup <VM name>
    
  3. Kör följande cmdlet på ägarnoden för att fastställa VM-ID:t.

    (Get-VM -Name <VM name>).vmid
    
  4. Exportera GSP-nyckeln för den virtuella datorn.

    Export-MocKey -name <VM ID> -wrappingKeyName wrappingKey -wrappingPubKeyFile wrappingKey.pem -outFile <VM ID>.json -group AzureStackHostAttestation -keyvaultName AzureStackTvmKeyVault -size 256
    

3. I det lokala Azure-systemet med nyckelvalvet för säkerhetskopiering

Kör följande steg i det lokala Azure-systemet.

  1. Kopiera filen <VM ID> och <VM ID>.json till det lokala Azure-systemet.

  2. Importera GSP-nyckeln för den virtuella datorn till säkerhetskopieringsnyckelvalvet.

    Import-MocKey -name <VM ID> -importKeyFile <VM ID>.json -group AzureStackHostAttestation -keyvaultName AzureStackTvmKeyVault -type AES -size 256
    

Återställa den virtuella datorn

I händelse av dataförlust använder du säkerhetskopian av dina VM-filer och återställer den virtuella datorn till ett lokalt azure-målsystem med Import-VM-. Detta återställer alla VM-filer, inklusive VMGS- och VMRS-filer.

Följ de här stegen för att kopiera den virtuella datorns GSP-nyckel från säkerhetskopieringsnyckelvalvet i det lokala Azure-systemet (där säkerhetskopian av den virtuella datorns GSP-nyckel lagrades) till nyckelvalvet i det lokala azure-målsystemet (där den virtuella datorn måste återställas).

Anmärkning

Betrodda Arc-VM:er som återställts i ett alternativt Azure-lokalsystem (annat än det Azure-lokalsystem där den virtuella datorn ursprungligen fanns) kan inte hanteras från Azure-kontrollplan.

1. På källans lokala Azure-system där den virtuella datorn måste återställas

Kör följande kommandon i det lokala Azure-systemet.

  1. Skapa en omslutningsnyckel i nyckelvalvet.

    New-MocKey -name wrappingKey -group AzureStackHostAttestation -keyvaultName AzureStackTvmKeyVault -type RSA -size 2048
    
  2. Ladda ned PEM-filen (Privacy Enhanced Mail).

    Get-MocKeyPublicKey -name wrappingKey -group AzureStackHostAttestation -keyvaultName AzureStackTvmKeyVault -outputFile wrappingKey.pem
    

2. I det lokala Azure-systemet med nyckelvalvet för säkerhetskopiering

Kör följande kommandon i det lokala Azure-systemet.

  1. Kopiera PEM-filen till det lokala Azure-systemet.

  2. Hämta <VM ID> från de virtuella datorfiler som lagras på disken (oavsett var detta finns). Det kommer att finnas en konfigurationsfil för virtuella datorer (.xml) som har <VM ID> som namn. Du kan också använda följande kommando för att hämta <VM ID> om du känner till namnet på den virtuella datorn. Du måste göra det här steget på en Hyper-V värd som har VM-filerna.

    (Get-VM -Name <VM name>).vmid
    
  3. Exportera GSP-nyckeln för den virtuella datorn.

    Export-MocKey -name <VM ID> -wrappingKeyName wrappingKey -wrappingPubKeyFile wrappingKey.pem -outFile <VM ID>.json -group AzureStackHostAttestation -keyvaultName AzureStackTvmKeyVault -size 256
    

3. I det lokala Azure-systemet där den virtuella datorn måste återställas

Kör följande kommandon från det lokala azure-målsystemet.

  1. Kopiera filen <VM ID> och <VM ID>.json till det lokala Azure-systemet.

  2. Importera GSP-nyckeln för den virtuella datorn.

    Import-MocKey -name <VM ID> -importKeyFile <VM ID>.json -group AzureStackHostAttestation -keyvaultName AzureStackTvmKeyVault -type AES -size 256
    

    Anmärkning

    Återställ den virtuella datorns GSP-nyckel (slutför stegen ovan) innan du startar den virtuella datorn i det lokala Azure-systemet (där den virtuella datorn måste återställas). Detta säkerställer att den virtuella datorn använder den återställde GSP-nyckeln för den virtuella datorn. Annars misslyckas det att skapa den virtuella datorn och en ny GSP-nyckel för den virtuella datorn skapas av systemet. Om detta inträffar av misstag (mänskligt fel) tar du bort GSP-nyckeln för den virtuella datorn och upprepar sedan stegen för att återställa den virtuella datorns GSP-nyckel.

    Remove-MocKey -name <vm id> -group AzureStackHostAttestation -keyvaultName > AzureStackTvmKeyVault
    

Nästa steg