Introduktion till pålitlig start för virtuella Azure Arc-datorer på Azure Local
Gäller för: Azure Local 2311.2 och senare
I den här artikeln beskrivs betrodd start för virtuella Azure Arc-datorer (VM) på Azure Local. Du kan skapa en virtuell Arc-dator med betrodd start med hjälp av Azure Portal eller med hjälp av Azure Command-Line Interface (CLI).
Introduktion
Betrodd start för virtuella Azure Arc-datorer möjliggör säker start, installerar en virtuell vTPM-enhet (Trusted Platform Module), överför automatiskt vTPM-tillståndet när den virtuella datorn migrerar eller redundansväxlar till en annan dator i systemet och stöder möjligheten att intyga om den virtuella datorn startade i ett känt bra tillstånd.
Betrodd start är en säkerhetstyp som kan anges när du skapar virtuella Arc-datorer på Azure Local. Mer information finns i Betrodd start för virtuella Azure Arc-datorer på Azure Local.
Funktioner och fördelar
| Kapacitet | Förmån |
|---|---|
| Säker Boot | Hjälper till att minska risken för skadlig kod (rootkits) under starten genom att kontrollera att startkomponenter är signerade av betrodda utgivare. |
| vTPM | Virtualiserad version av en maskinvaru-TPM som fungerar som ett dedikerat valv för nycklar, certifikat och hemligheter. |
| vTPM-tillståndsöverföring | Bevarar vTPM när den virtuella datorn migrerar eller byter över i ett kluster. |
| Virtualiseringsbaserad säkerhet (VBS) | Gäst på den virtuella datorn kan skapa isolerade minnesregioner med hjälp av VBS-stöd. |
Anteckning
Integritetsverifiering av vm-gäststart är inte tillgängligt.
Vägledning
IgvmAgent är en komponent som är installerad på alla datorer i Det lokala Azure-systemet. Det ger stöd för isolerade virtuella datorer, till exempel betrodda startdatorer i Arc.
Som en del av Trusted launch-skapandet av en virtuell Arc-dator skapar Hyper-V VM-filer på en standardplats på disken för att lagra VM-tillståndet. Som standard är åtkomsten till de virtuella datorfilerna begränsad till endast värdserveradministratörer. Om du lagrar dessa VM-filer på en annan plats måste du se till att platsen endast är åtkomst till värdserveradministratörer.
Nätverkstrafiken för live-migrering av virtuell maskin är inte krypterad. Vi rekommenderar starkt att du aktiverar en nätverksnivåkrypteringsteknik som IPsec för att skydda nätverkstrafiken för direktmigrering.
Avbildningar av gästoperativsystem
Alla Windows 11-avbildningar (exklusive 24H2 Windows 11 SKU:er) och Windows Server 2022-avbildningar från Azure Marketplace som stöds av virtuella Azure Arc-datorer stöds. Se Skapa Azure lokal VM-avbildning med hjälp av Azure Marketplace-avbildningar för en lista över alla Windows 11-avbildningar som stöds.
Kommentar
Vm-gästavbildningar som hämtas utanför Azure Marketplace stöds inte.
Överväganden för säkerhetskopiering och haveriberedskap
När du arbetar med virtuella Arc-datorer med betrodd start bör du förstå följande viktiga överväganden och begränsningar som rör säkerhetskopiering och återställning:
Skillnader mellan betrodda virtuella Arc-datorer och virtuella Arc-standarddatorer: Till skillnad från vanliga virtuella Azure Arc-datorer använder betrodda virtuella Arc-datorer en VM-gästillståndsskyddsnyckel för att skydda gästillståndet för VM, inklusive det virtuella TPM-tillståndet (vTPM), när de är i vila. Den virtuella datorns skyddsnyckel lagras i ett lokalt nyckelvalv i det lokala Azure-systemet där den virtuella datorn finns. Virtuella Arc-VM:er med betrodd uppstart lagrar gästtillståndet för den virtuella datorn i två filer: VM-gästtillstånd och VM-driftstillstånd. För att säkerhetskopiera och återställa en betrodd virtuell dator måste en säkerhetskopieringslösning säkerhetskopiera och återställa alla VM-filer, inklusive gästtillstånd och körningstillståndsfilerna, samt dessutom säkerhetskopiera och återställa den virtuella datorns skyddsnyckel.
Säkerhetskopierings- och haveriberedskapsverktygsstöd: För närvarande stöder Arc-virtuella datorer med betrodd start inte några tredjeparts- eller Microsoft-ägda säkerhetskopierings- och haveriberedskapsverktyg, inklusive men inte begränsat till Azure Backup, Azure Site Recovery, Veeam och Commvault. Om det uppstår ett behov av att flytta en betrodd start av Arc TVM till ett alternativt kluster kan du läsa den manuella processen Manuell säkerhetskopiering och återställning av betrodda virtuella Arc-datorer för att hantera alla nödvändiga filer och vm-skyddsnyckeln för att säkerställa att den virtuella datorn kan återställas.
Kommentar
Betrodda Arc VM: er med start som återställts på ett alternativt Azure-system kan inte hanteras från Azure-kontrollplanet.