Azure 本地上 Azure Arc VM 的受信任啟動簡介
適用於:Azure Local 2311.2 和更新版本
本文介紹如何在 Azure 定域上的 Azure Arc 虛擬機 (VM) 中啟用信任啟動功能。 您可以使用 Azure 入口網站 或使用 Azure 命令列介面 (CLI) 建立受信任的啟動 Arc VM。
簡介
Azure Arc VM 的信任啟動可啟用安全開機、安裝虛擬信賴平臺模組 (vTPM) 裝置、在 VM 移轉或故障轉移至系統內另一部計算機時自動傳輸 vTPM 狀態,並支持證明 VM 是否處於已知良好狀態的能力。
受信任的啟動是可在 Azure 本機上建立 Arc VM 時指定的安全性類型。 如需詳細資訊,請參閱 Azure 本機上 Azure Arc VM 的信任啟動。
功能和優點
| 能力 | 優點 |
|---|---|
| 安全開機 | 藉由確認受信任發行者已簽署開機組件,協助降低開機期間惡意代碼 (rootkits) 的風險。 |
| vTPM | 虛擬版本的硬體 TPM,可作為密鑰、憑證和秘密的專用保存庫。 |
| vTPM 狀態傳輸 | 當 VM 在叢集內移轉或故障轉移時,保留 vTPM。 |
| 虛擬化型安全性 (VBS) | VM 中的客體可以使用 VBS 支援來建立記憶體的隔離區域。 |
注意
VM 客體開機完整性驗證不可用。
指引
IgvmAgent 是安裝在 Azure 本機系統的所有機器上的元件。 它可支援隔離的 VM,例如受信任的啟動 Arc VM。
在信任啟動 Arc VM 建立期間,Hyper-V 會在磁碟上的預設位置建立 VM 檔案,以儲存 VM 狀態。 根據預設,這些 VM 檔案的存取僅限於主機伺服器管理員。 如果您將這些 VM 檔案儲存在不同的位置,您必須確定該位置僅限主機伺服器管理員存取。
VM 實時移轉網路流量不會加密。 強烈建議您啟用網路層加密技術,例如 IPsec 來保護即時移轉網路流量。
虛擬機作業系統映像
支援所有 Windows 11 映射(不包括 24H2 Windows 11 SKU)和來自 Azure Arc VM 所支援 Azure Marketplace 的 Windows Server 2022 映射。 如需所有支援的 Windows 11 映射清單,請參閱 使用 Azure Marketplace 映射建立 Azure 本機 VM 映射。
注意
不支援在 Azure Marketplace 外部取得的 VM 客體映像。
備份和災害復原考慮
使用受信任的啟動Arc VM時,請務必瞭解下列與備份和復原相關的重要考慮和限制:
信任啟動 Arc VM 與標準 Arc VM 之間的差異:不同於標準 Azure Arc VM,信任啟動 Arc VM 會使用 VM 客體狀態保護密鑰在靜止狀態下保護 VM 客體狀態,包括虛擬 TPM(vTPM)狀態。 VM 保護金鑰會儲存在 VM 所在的 Azure 本機系統中的本機金鑰保存庫中。 受信任的啟動 Arc VM 會將 VM 客體狀態儲存在兩個檔案中:VM 客體狀態和 VM 運行時間狀態。 若要備份和還原受信任的啟動 VM,備份解決方案必須備份和還原所有 VM 檔案,包括客體狀態和運行時間狀態檔案,以及備份和還原 VM 保護密鑰。
備份和災害復原工具支援:目前,受信任的啟動Arc VM不支援任何第三方或Microsoft擁有的備份和災害復原工具,包括但不限於 Azure 備份、Azure Site Recovery、Veeam 和 Commvault。 如果需要將受信任的啟動 Arc TVM 移至替代叢集,請參閱手動程式 手動備份和復原受信任的啟動 Arc VM,以管理所有必要的檔案和 VM 保護密鑰,以確保 VM 可以成功還原。
注意
從 Azure 控制平面無法管理在替代 Azure 本機系統上還原的信任啟動 Arc VM。