Verwalten des vertrauenswürdigen Arc-VM-Gaststatusschutzschlüssels in Azure Stack HCI, Version 23H2
Gilt für: Azure Stack HCI, Version 23H2
In diesem Artikel wird beschrieben, wie Sie einen vertrauenswürdigen Arc-VM-Gaststatusschutzschlüssel in Azure Stack HCI verwalten.
Ein VM-Gaststatusschutzschlüssel wird verwendet, um den VM-Gaststatus zu schützen, z. B. den vTPM-Zustand, während im Ruhezustand im Speicher. Es ist nicht möglich, einen virtuellen Arc-Computer mit vertrauenswürdigem Start ohne den Schutzschlüssel des Gastzustands zu starten. Der Schlüssel wird in einem Schlüsseltresor im Azure Stack HCI-Cluster gespeichert, in dem sich die VM befindet.
Exportieren und Importieren des virtuellen Computers
Der erste Schritt besteht darin, den virtuellen Computer aus dem Azure Stack HCI-Quellcluster zu exportieren und dann in den Azure Stack HCI-Zielcluster zu importieren.
Informationen zum Exportieren des virtuellen Computers aus dem Quellcluster finden Sie unter Export-VM (Hyper-V).
Informationen zum Importieren des virtuellen Computers in den Zielcluster finden Sie unter Import-VM (Hyper-V).
Übertragen des VM-Gaststatusschutzschlüssels
Nachdem Sie den virtuellen Computer exportiert und dann importiert haben, führen Sie die folgenden Schritte aus, um den VM-Gaststatusschutzschlüssel aus dem Azure Stack HCI-Quellcluster in den Azure Stack HCI-Zielcluster zu übertragen:
1. Auf dem Azure Stack HCI-Zielcluster
Führen Sie die folgenden Befehle aus dem Azure Stack HCI-Zielcluster aus.
Melden Sie sich mit Administratorrechten beim Schlüsseltresor an.
mocctl.exe security login --identity --loginpath (Get-MocConfig).mocLoginYAML --cloudFqdn (Get-MocConfig).cloudFqdn
Erstellen Sie einen master Schlüssel im Zielschlüsseltresor. Führen Sie den folgenden Befehl aus.
mocctl.exe security keyvault key create --location VirtualMachineLocation --group AzureStackHostAttestation --vault-name AzureStackTvmKeyVault --key-size 2048 --key-type RSA --name master
Laden Sie die PEM-Datei (Privacy Enhanced Mail) herunter.
mocctl.exe security keyvault key download --name master --file-path C:\master.pem --vault-name AzureStackTvmKeyVault
2. Im Azure Stack HCI-Quellcluster
Führen Sie die folgenden Befehle aus dem Azure Stack HCI-Quellcluster aus.
Kopieren Sie die PEM-Datei aus dem Zielcluster in den Quellcluster.
Führen Sie das folgende Cmdlet aus, um die ID des virtuellen Computers zu ermitteln.
(Get-VM -Name <vmName>).vmid
Melden Sie sich mit Administratorrechten beim Schlüsseltresor an.
mocctl.exe security login --identity --loginpath (Get-MocConfig).mocLoginYAML --cloudFqdn (Get-MocConfig).cloudFqdn
Exportieren Sie den VM-Gaststatusschutzschlüssel für den virtuellen Computer.
mocctl.exe security keyvault key export --vault-name AzureStackTvmKeyVault --name <vmID> --wrapping-pub-key-file C:\master.pem --out-file C:\<vmID>.json
3. Auf dem Azure Stack HCI-Zielcluster
Führen Sie die folgenden Befehle aus dem Azure Stack HCI-Zielcluster aus:
Kopieren Sie die
vmID
Datei undvmID.json
aus dem Quellcluster in den Zielcluster.Importieren Sie den VM-Gaststatusschutzschlüssel für den virtuellen Computer.
mocctl.exe security keyvault key import --key-file-path C:\<vmID>.json --name <vmID> --vault-name AzureStackTvmKeyVault --wrapping-key-name master --key-type AES --key-size 256
Nächste Schritte
Feedback
https://aka.ms/ContentUserFeedback.
Bald verfügbar: Im Laufe des Jahres 2024 werden wir GitHub-Issues stufenweise als Feedbackmechanismus für Inhalte abbauen und durch ein neues Feedbacksystem ersetzen. Weitere Informationen finden Sie unterFeedback senden und anzeigen für