Správa klíče ochrany stavu hosta důvěryhodného spuštění virtuálního počítače Arc ve službě Azure Stack HCI verze 23H2

Platí pro: Azure Stack HCI verze 23H2

Tento článek popisuje, jak spravovat klíč ochrany stavu hosta virtuálního počítače Arc důvěryhodného spuštění ve službě Azure Stack HCI.

Klíč ochrany stavu hosta virtuálního počítače se používá k ochraně stavu hosta virtuálního počítače, jako je stav virtuálního počítače vTPM, zatímco je neaktivní v úložišti. Virtuální počítač Arc s důvěryhodným spuštěním není možné spustit bez klíče ochrany stavu hosta. Klíč je uložený v trezoru klíčů v clusteru Azure Stack HCI, kde se nachází virtuální počítač.

Export a import virtuálního počítače

Prvním krokem je export virtuálního počítače ze zdrojového clusteru Azure Stack HCI a jeho následný import do cílového clusteru Azure Stack HCI.

1. Pokud chcete virtuální počítač exportovat ze zdrojového clusteru, přečtěte si téma Export-VM (Hyper-V).

2. Informace o importu virtuálního počítače do cílového clusteru najdete v tématu Import-VM (Hyper-V).

Přenos klíče ochrany stavu hosta virtuálního počítače

Po exportu a importu virtuálního počítače pomocí následujících kroků přeneste klíč ochrany stavu hosta virtuálního počítače ze zdrojového clusteru Azure Stack HCI do cílového clusteru Azure Stack HCI:

1. V cílovém clusteru Azure Stack HCI

Z cílového clusteru Azure Stack HCI spusťte následující příkazy.

1. Přihlaste se k trezoru klíčů pomocí oprávnění správce.

   mocctl.exe security login --identity --loginpath (Get-MocConfig).mocLoginYAML --cloudFqdn (Get-MocConfig).cloudFqdn
   

2. V cílovém trezoru klíčů vytvořte hlavní klíč. Spusťte následující příkaz.

   mocctl.exe security keyvault key create --location VirtualMachineLocation --group AzureStackHostAttestation --vault-name AzureStackTvmKeyVault --key-size 2048 --key-type RSA --name master
   

3. Stáhněte si soubor PEM (Privacy Enhanced Mail).

   mocctl.exe security keyvault key download --name master --file-path C:\master.pem --vault-name AzureStackTvmKeyVault
   

2. Ve zdrojovém clusteru Azure Stack HCI

Ze zdrojového clusteru Azure Stack HCI spusťte následující příkazy.

1. Zkopírujte soubor PEM z cílového clusteru do zdrojového clusteru.

2. Spuštěním následující rutiny určete ID virtuálního počítače.

   (Get-VM -Name <vmName>).vmid  
   

3. Přihlaste se k trezoru klíčů pomocí oprávnění správce.

     mocctl.exe security login --identity --loginpath (Get-MocConfig).mocLoginYAML --cloudFqdn (Get-MocConfig).cloudFqdn
   

4. Exportujte klíč ochrany stavu hosta virtuálního počítače pro virtuální počítač.

   mocctl.exe security keyvault key export --vault-name AzureStackTvmKeyVault --name <vmID> --wrapping-pub-key-file C:\master.pem --out-file C:\<vmID>.json  
   

3. V cílovém clusteru Azure Stack HCI

Z cílového clusteru Azure Stack HCI spusťte následující příkazy:

1. vmID Zkopírujte soubor a vmID.json ze zdrojového clusteru do cílového clusteru.

2. Naimportujte klíč ochrany stavu hosta virtuálního počítače pro virtuální počítač.

   mocctl.exe security keyvault key import --key-file-path C:\<vmID>.json --name <vmID> --vault-name AzureStackTvmKeyVault --wrapping-key-name master --key-type AES --key-size 256
   

Další kroky

• Správa rozšíření virtuálních počítačů