Poznámka:
Přístup k této stránce vyžaduje autorizaci. Můžete se zkusit přihlásit nebo změnit adresáře.
Přístup k této stránce vyžaduje autorizaci. Můžete zkusit změnit adresáře.
Platí pro: Hyperkonvergovaná nasazení Azure Local 2311.2 a novější
Tento článek představuje důvěryhodné spuštění pro místní virtuální počítače Azure povolené službou Azure Arc. Důvěryhodné spuštění pro místní virtuální počítač Azure můžete vytvořit pomocí webu Azure Portal nebo pomocí rozhraní příkazového řádku Azure Command-Line.
Introduction
Důvěryhodné spuštění místních virtuálních počítačů Azure umožňuje zabezpečené spouštění, nainstaluje virtuální zařízení vTPM (Trusted Platform Module), automaticky přenese stav virtuálního počítače vTPM, když virtuální počítač migruje nebo převezme služby při selhání do jiného počítače v systému, a podporuje možnost ověření, jestli se virtuální počítač spustil ve známém dobrém stavu.
Důvěryhodné spuštění je typ zabezpečení, který je možné zadat při vytváření místních virtuálních počítačů Azure. Další informace najdete v tématu Důvěryhodné spuštění pro místní virtuální počítače Azure povolené službou Azure Arc.
Funkce a výhody
| Capability | Benefit |
|---|---|
| Zabezpečené spouštění | Pomáhá snížit riziko malwaru (rootkits) během spouštění ověřením, že spouštěcí komponenty jsou podepsány důvěryhodnými vydavateli. |
| vTPM | Virtualizovaná verze hardwarového čipu TPM, která slouží jako vyhrazený trezor pro klíče, certifikáty a tajné kódy. |
| Přenos stavu vTPM | Zachová vTPM při migraci nebo převzetí při selhání virtuálního počítače v rámci clusteru. |
| Zabezpečení na základě virtualizace (VBS) | Host na virtuálním počítači může vytvářet izolované oblasti paměti pomocí podpory VBS. |
Note
Ověření integrity spouštění hosta virtuálního počítače není k dispozici.
Guidance
IgvmAgent je komponenta nainstalovaná na všech počítačích v místním systému Azure. Umožňuje například podporu izolovaných virtuálních počítačů, jako je důvěryhodné spuštění pro místní virtuální počítače Azure.
Důvěryhodné spuštění pro místní virtuální počítače Azure v současné době podporuje jenom výběrovou sadu imagí Azure Marketplace. Seznam podporovaných imagí najdete v tématu Hostovaná image operačního systému. Při vytváření důvěryhodného spouštěcího virtuálního počítače na webu Azure Portal se v rozevíracím seznamu Image zobrazí jenom image podporované důvěryhodným spuštěním. Pokud vyberete nepodporovaný obrázek včetně vlastního obrázku, zobrazí se rozevírací seznam Obrázek prázdný. Seznam se zobrazí také prázdný, pokud důvěryhodné spuštění nepodporuje žádná z imagí dostupných ve vašem místním systému Azure.
V rámci funkce Trusted launch pro vytvoření místního virtuálního počítače v Azure vytvoří Hyper-V soubory VM ve výchozím umístění na disku k uložení stavu virtuálního počítače. Ve výchozím nastavení je přístup k těmto souborům virtuálních počítačů omezen pouze na správce hostitelského serveru. Pokud tyto soubory virtuálních počítačů uložíte do jiného umístění, musíte zajistit, aby toto umístění bylo omezeno pouze na správce hostitelského serveru.
Síťový provoz migrace za provozu virtuálního počítače není šifrovaný. Důrazně doporučujeme povolit technologii šifrování síťové vrstvy, jako je protokol IPsec, abyste ochránili síťový provoz během živé migrace.
Image hostovaného operačního systému
Podporují se všechny image Windows a image Windows Serveru z Azure Marketplace podporované místními virtuálními počítači Azure. Seznam všech podporovaných imagí Windows 11 najdete v tématu Vytvoření image místního virtuálního počítače Azure pomocí imagí Azure Marketplace .
Note
Obrazy hosta virtuálního počítače získané mimo Azure Marketplace nejsou podporovány.
Aspekty zálohování a zotavení po havárii
Při práci s místními virtuálními počítači Azure s důvěryhodným spouštěním mějte na paměti následující klíčové aspekty a omezení související se zálohováním a obnovením virtuálních počítačů.
Zálohování virtuálních počítačů
Zálohujte všechny soubory virtuálních počítačů. K zálohování všech souborů virtuálních počítačů můžete použít libovolné řešení zálohování nebo nástroj, pokud se řídí standardními přístupy k zálohováníHyper-V.
Zálohujte klíč ochrany stavu hosta virtuálního počítače. Na rozdíl od standardních místních virtuálních počítačů Azure využívají místní virtuální počítače Azure s důvěryhodným spuštěním klíč pro ochranu stavu hosta virtuálního počítače, včetně stavu virtuálního TPM (vTPM), když je systém nečinný. Klíč ochrany stavu hosta virtuálního počítače je uložený v místním trezoru klíčů v místní instanci Azure, kde se nachází virtuální počítač. Klíč ochrany stavu hosta virtuálního počítače musíte ručně zálohovat, jakmile vytvoříte důvěryhodný spouštěcí virtuální počítač, jak je popsáno v části Ruční zálohování a obnovení klíče ochrany stavu hosta virtuálního počítače. Bez klíče ochrany stavu hosta nemůžete virtuální počítač spustit.
Obnovení virtuálního počítače
Obnovte všechny soubory virtuálních počítačů. K obnovení všech souborů virtuálních počítačů můžete použít jakékoli řešení zálohování nebo nástroj, pokud se řešení zálohování nebo nástroj řídí standardními přístupyHyper-V zálohování.
Obnovte klíč ochrany stavu hosta virtuálního počítače. Klíč ochrany stavu hosta virtuálního počítače musíte obnovit do místního trezoru klíčů místní instance Azure, jak je popsáno v části Ruční zálohování a obnovení klíče ochrany stavu hosta virtuálního počítače.
Obnovení do stejné místní instance Azure
- V některých situacích se virtuální počítač může obnovit do stejné místní instance Azure, stejně jako místní instance Azure, ve které se virtuální počítač nachází před selháním. Po úspěšném obnovení důvěryhodného spouštěcího virtuálního počítače do stejné místní instance Azure je možné virtuální počítač spravovat přes místní řídicí rovinu Azure, jak tomu bylo dříve.
Obnovení do jiné místní instance Azure
- V některých situacích se virtuální počítač může obnovit do jiné místní instance Azure, která se liší od místní instance Azure, ve které se virtuální počítač nachází před selháním. Když se důvěryhodný spouštěcí virtuální počítač úspěšně obnoví do jiné místní instance Azure, virtuální počítač už nejde spravovat prostřednictvím řídicí roviny Azure Arc, ale dá se spravovat pomocí místních nástrojů pro správu virtuálních počítačů.
Replikace virtuálních počítačů
Azure Site Recovery, který může replikovat virtuální počítače v místní instanci Azure do Azure, se nepodporuje.