在 Azure 本地版本 23H2 上管理受信任的启动 Arc VM 来宾状态保护密钥

适用于：Azure 本地版本 23H2

本文介绍如何在 Azure 本地管理受信任的启动 Arc VM 来宾状态保护密钥。

VM 来宾状态保护密钥用于保护 VM 来宾状态，例如 vTPM 状态，同时在存储中处于静态状态。 如果没有来宾状态保护密钥，则无法启动受信任的启动 Arc VM。 密钥存储在 VM 所在的 Azure 本地系统中的密钥保管库中。

导出和导入 VM

第一步是从源 Azure 本地系统导出 VM，然后将其导入目标 Azure 本地系统。

1. 若要从源群集导出 VM，请参阅 Export-VM（Hyper-V）。

2. 若要将 VM 导入目标群集，请参阅 Import-VM（Hyper-V）。

传输 VM 来宾状态保护密钥

导出并导入 VM 后，使用以下步骤将 VM 来宾状态保护密钥从源 Azure 本地系统传输到目标 Azure 本地系统：

1. 在目标 Azure 本地系统上

从目标 Azure 本地系统运行以下命令。

1. 使用管理权限登录到密钥保管库。

   mocctl.exe security login --identity --loginpath (Get-MocConfig).mocLoginYAML --cloudFqdn (Get-MocConfig).cloudFqdn
   

2. 在目标密钥保管库中创建主密钥。 运行以下命令。

   mocctl.exe security keyvault key create --location VirtualMachineLocation --group AzureStackHostAttestation --vault-name AzureStackTvmKeyVault --key-size 2048 --key-type RSA --name master
   

3. 下载隐私增强邮件（PEM）文件。

   mocctl.exe security keyvault key download --name master --file-path C:\master.pem --vault-name AzureStackTvmKeyVault
   

2. 在源 Azure 本地系统上

从源 Azure 本地系统运行以下命令。

1. 将 PEM 文件从目标群集复制到源群集。

2. 运行以下 cmdlet 来确定 VM 的 ID。

   (Get-VM -Name <vmName>).vmid  
   

3. 使用管理权限登录到密钥保管库。

     mocctl.exe security login --identity --loginpath (Get-MocConfig).mocLoginYAML --cloudFqdn (Get-MocConfig).cloudFqdn
   

4. 导出 VM 的 VM 来宾状态保护密钥。

   mocctl.exe security keyvault key export --vault-name AzureStackTvmKeyVault --name <vmID> --wrapping-pub-key-file C:\master.pem --out-file C:\<vmID>.json  
   

3. 在目标 Azure 本地系统上

从目标 Azure 本地系统运行以下命令。

1. 将 vmID 源群集中的文件和 vmID.json 文件复制到目标群集。

2. 导入 VM 的 VM 来宾状态保护密钥。

   mocctl.exe security keyvault key import --key-file-path C:\<vmID>.json --name <vmID> --vault-name AzureStackTvmKeyVault --wrapping-key-name master --key-type AES --key-size 256
   

后续步骤

• 管理 VM 扩展。