在 Azure 本機版本 23H2 上管理受信任的啟動 Arc VM 客體狀態保護密鑰

適用於：Azure Local 2311.2 和更新版本

本文說明如何在 Azure 本機上管理受信任的啟動 Arc VM 客體狀態保護密鑰。

VM 客體狀態保護密鑰可用來保護 VM 客體狀態，例如 vTPM 狀態，同時在記憶體中待用。 若沒有客體狀態保護密鑰，就無法啟動受信任的啟動 Arc VM。 金鑰會儲存在 VM 所在的 Azure 本機系統中的金鑰保存庫中。

匯出和匯入 VM

第一個步驟是從來源 Azure 本機系統匯出 VM，然後將它匯入目標 Azure 本機系統。

1. 若要從來源叢集匯出 VM，請參閱 Export-VM （Hyper-V） 。

2. 若要將 VM 匯入目標叢集，請參閱 Import-VM （Hyper-V） 。

傳輸 VM 客體狀態保護金鑰

匯出並匯入 VM 之後，請使用下列步驟，將 VM 客體狀態保護金鑰從來源 Azure 本機系統傳輸到目標 Azure 本機系統：

1.在目標 Azure 本機系統上

從目標 Azure 本機系統執行下列命令。

1. 使用系統管理許可權登入金鑰保存庫。

   mocctl.exe security login --identity --loginpath (Get-MocConfig).mocLoginYAML --cloudFqdn (Get-MocConfig).cloudFqdn
   

2. 在目標金鑰保存庫中建立主要金鑰。 執行下列命令。

   mocctl.exe security keyvault key create --location VirtualMachineLocation --group AzureStackHostAttestation --vault-name AzureStackTvmKeyVault --key-size 2048 --key-type RSA --name master
   

3. 下載隱私權增強郵件 （PEM） 檔案。

   mocctl.exe security keyvault key download --name master --file-path C:\master.pem --vault-name AzureStackTvmKeyVault
   

2.在來源 Azure 本機系統上

從來源 Azure 本機系統執行下列命令。

1. 將 PEM 檔案從目標叢集複製到來源叢集。

2. 執行下列 Cmdlet 來判斷 VM 的識別碼。

   (Get-VM -Name <vmName>).vmid  
   

3. 使用系統管理許可權登入金鑰保存庫。

     mocctl.exe security login --identity --loginpath (Get-MocConfig).mocLoginYAML --cloudFqdn (Get-MocConfig).cloudFqdn
   

4. 匯出 VM 的 VM 客體狀態保護金鑰。

   mocctl.exe security keyvault key export --vault-name AzureStackTvmKeyVault --name <vmID> --wrapping-pub-key-file C:\master.pem --out-file C:\<vmID>.json  
   

3.在目標 Azure 本機系統上

從目標 Azure 本機系統執行下列命令。

1. 將 vmID 和 vmID.json 檔案從來源叢集複製到目標叢集。

2. 匯入 VM 的 VM 客體狀態保護金鑰。

   mocctl.exe security keyvault key import --key-file-path C:\<vmID>.json --name <vmID> --vault-name AzureStackTvmKeyVault --wrapping-key-name master --key-type AES --key-size 256
   

下一步

• 管理 VM 擴充功能。