Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Gilt für: Azure Local 2311.2 und höher
In diesem Artikel wird der vertrauenswürdige Start für virtuelle Azure-Computer (VMs) eingeführt, die von Azure Arc aktiviert sind. Sie können einen vertrauenswürdigen Start für eine lokale Azure-VM mithilfe des Azure-Portals oder mithilfe der Azure Command-Line Interface (CLI) erstellen.
Einführung
Der vertrauenswürdige Start für lokale Azure-VMs ermöglicht den sicheren Start, installiert ein virtuelles vTPM-Gerät (Trusted Platform Module), überträgt automatisch den vTPM-Zustand, wenn der virtuelle Computer zu einem anderen Computer innerhalb des Systems migriert oder fehlschlägt, und unterstützt die Möglichkeit, zu bestätigen, ob der virtuelle Computer in einem bekannten guten Zustand gestartet wurde.
Der vertrauenswürdige Start ist ein Sicherheitstyp, der beim Erstellen lokaler Azure-VMs angegeben werden kann. Weitere Informationen finden Sie unter "Vertrauenswürdiger Start für lokale virtuelle Azure-Computer, die von Azure Arc aktiviert sind".
Funktionen und Vorteile
| Funktion | Vorteil |
|---|---|
| Sicherer Start | Trägt dazu bei, das Risiko von Schadsoftware (Rootkits) während des Starts zu verringern, indem sichergestellt wird, dass Startkomponenten von vertrauenswürdigen Herausgebern signiert sind. |
| vTPM | Virtualisierte Version eines Hardware-TPM, das als dedizierter Tresor für Schlüssel, Zertifikate und geheime Schlüssel dient. |
| vTPM-Statusübertragung | Behält vTPM bei, wenn die VM innerhalb eines Clusters migriert oder fehlschlägt. |
| Virtualisierungsbasierte Sicherheit (VBS) | Gast in der VM kann isolierte Speicherregionen mithilfe der VBS-Unterstützung erstellen. |
Hinweis
Die Überprüfung der Vm-Gaststartintegrität ist nicht verfügbar.
Leitfaden
IgvmAgent ist eine Komponente, die auf allen Computern im lokalen Azure-System installiert ist. Sie ermöglicht beispielsweise die Unterstützung für isolierte VMs wie den vertrauenswürdigen Start für lokale Azure-VMs.
Der vertrauenswürdige Start für Azure Local VMs unterstützt aktuell nur ein ausgewähltes Set von Azure Marketplace Images. Eine Liste der unterstützten Images finden Sie unter Gastbetriebssystem-Images. Wenn Sie eine Trusted Launch VM im Azure-Portal erstellen, zeigt die Dropdown-Liste Image nur die von Trusted Launch unterstützten Images an. Die Dropdown-Liste Image erscheint leer, wenn Sie ein nicht unterstütztes Image auswählen, einschließlich eines angepassten Images. Die Liste wird auch leer angezeigt, wenn keines der auf Ihrem Azure Local-System verfügbaren Images von Trusted Launch unterstützt wird.
Als Teil des vertrauenswürdigen Starts für die Erstellung lokaler Azure-VM erstellt Hyper-V VM-Dateien an einem Standardspeicherort auf dem Datenträger, um den VM-Zustand zu speichern. Standardmäßig ist der Zugriff auf diese VM-Dateien nur auf Hostserveradministratoren beschränkt. Wenn Sie diese VM-Dateien an einem anderen Speicherort speichern, müssen Sie sicherstellen, dass der Speicherort nur auf Hostserveradministratoren beschränkt ist.
Vm Live Migration Netzwerkdatenverkehr ist nicht verschlüsselt. Es wird dringend empfohlen, eine Verschlüsselungstechnologie auf Netzwerkebene wie IPsec zum Schutz des Livemigrationsnetzwerkdatenverkehrs zu aktivieren.
Gastbetriebssystemimages
Alle Windows 11-Images (ausgenommen 24H2 Windows 11-SKUs) und Windows Server 2022-Images von Azure Marketplace, die von lokalen Azure-VMs unterstützt werden, werden unterstützt. Eine Liste aller unterstützten Windows 11-Images finden Sie unter Azure Local VM-Image aus Azure Marketplace-Images erstellen.
Hinweis
VM-Gastimages, die außerhalb von Azure Marketplace abgerufen wurden, werden nicht unterstützt.
Überlegungen zur Sicherung und Notfallwiederherstellung
Achten Sie beim Arbeiten mit dem vertrauenswürdigen Start für lokale Azure-VMs darauf, die folgenden wichtigen Überlegungen und Einschränkungen im Zusammenhang mit Sicherung und Wiederherstellung zu verstehen:
Unterschiede zwischen dem vertrauenswürdigen Start für lokale Azure-VMs und standardmäßigen lokalen Azure-VMs: Im Gegensatz zu standardmäßigen lokalen Azure-VMs verwendet der vertrauenswürdige Start für lokale Azure-VMs einen VM-Gaststatusschutzschlüssel, um den VM-Gastzustand zu schützen, einschließlich des vTPM-Zustands (Virtual TPM), während sie ruhen. Der VM-Schutzschlüssel wird in einem lokalen Schlüsseltresor im lokalen Azure-System gespeichert, in dem sich die VM befindet. Der vertrauenswürdige Start für lokale Azure-VMs speichert den Gastzustand des virtuellen Computers in zwei Dateien: VM-Gastzustand und Laufzeitstatus des virtuellen Computers. Um einen virtuellen vertrauenswürdigen Startcomputer zu sichern und wiederherzustellen, muss eine Sicherungslösung alle VM-Dateien sichern und wiederherstellen, einschließlich Gastzustands- und Laufzeitstatusdateien, und zusätzlich den VM-Schutzschlüssel sichern und wiederherstellen.
Unterstützung für Sicherungs- und Notfallwiederherstellungstools: Derzeit unterstützt der vertrauenswürdige Start für lokale Azure-VMs keine Drittanbieter- oder Microsoft-eigenen Sicherungs- und Notfallwiederherstellungstools, einschließlich, aber nicht beschränkt auf Azure Backup, Azure Site Recovery, Veeam und Commvault. Wenn ein vertrauenswürdiger Start für Azure Local TVM in einen alternativen Cluster verschoben werden muss, lesen Sie den manuellen Prozess manuelle Sicherung und Wiederherstellung des vertrauenswürdigen Starts für lokale Azure-VMs , um alle erforderlichen Dateien und vm-Schutzschlüssel zu verwalten, um sicherzustellen, dass die VM erfolgreich wiederhergestellt werden kann.
Hinweis
Der vertrauenswürdige Start für lokale Azure-VMs, die auf einem alternativen lokalen Azure-System wiederhergestellt wurden, kann nicht über die Azure-Steuerungsebene verwaltet werden.