Transferencia automática del estado de TPM virtual para inicio seguro para máquinas virtuales locales de Azure

Se aplica a: Azure Local 2311.2 y versiones posteriores

En este artículo se usa un ejemplo para ilustrar la transferencia automática del estado de TPM virtual (vTPM) para el inicio seguro de la máquina virtual local de Azure, incluso cuando la máquina virtual migra o conmuta por error a otra máquina del sistema. Esta operación permite que las aplicaciones que usan vTPM funcionen normalmente durante la migración o la conmutación por error de la máquina virtual.

Ejemplo

En este ejemplo se muestra un inicio de confianza de Azure para una máquina virtual local de Azure que ejecuta Windows 11 como sistema invitado, con el cifrado de BitLocker habilitado. Estos son los pasos para ejecutar este ejemplo:

1. Cree una máquina virtual de inicio de confianza local de Azure que ejecute un sistema operativo invitado (SO) windows 11 compatible.

2. Habilite el cifrado de BitLocker para el volumen del sistema operativo en la máquina virtual Win 11. Inicie sesión en el invitado de Windows 11 y habilite el cifrado de BitLocker para el volumen del sistema operativo:

   1. En el cuadro de búsqueda de la barra de tareas, escriba "Administrar BitLocker" y, a continuación, selecciónelo en la lista de resultados.

   2. Seleccione Activar BitLocker y siga las instrucciones para cifrar el volumen del sistema operativo (C:). BitLocker usa vTPM como protector de claves para el volumen del sistema operativo.

3. Confirme el nodo propietario de la máquina virtual.

   Get-ClusterGroup <VM name>
   

4. Migre la máquina virtual a otra máquina del sistema. Ejecute el siguiente comando de PowerShell desde la máquina en la que se encuentra la máquina virtual.

   Move-ClusterVirtualMachineRole -Name <VM name> -Node <destination node> -MigrationType Shutdown
   

5. Confirme que el nodo propietario de la máquina virtual es el nodo de destino especificado.

   Get-ClusterGroup <VM name>
   

6. Una vez completada la migración de la máquina virtual, compruebe si la máquina virtual está disponible y BitLocker está habilitada.

7. Compruebe que puede iniciar sesión en el usuario invitado de Windows 11 en la máquina virtual y que el cifrado de BitLocker para el volumen del sistema operativo permanece habilitado. Si es true, esto confirma que el estado de vTPM se ha conservado durante la migración de la máquina virtual.

   Nota:

   Si el estado de vTPM no se conserva durante la migración de la máquina virtual, el inicio de la máquina virtual daría lugar a la recuperación de BitLocker durante el arranque de invitado. Se le pedirá la contraseña de recuperación de BitLocker al intentar iniciar sesión en el invitado de Windows 11. Esta situación se produce porque la medida de arranque (almacenada en vTPM) de la máquina virtual migrada en el nodo de destino es diferente de la de la máquina virtual original.

8. Obligue a la máquina virtual a conmutar por error a otra máquina del sistema.

   1. Confirme el nodo propietario de la máquina virtual mediante el comando siguiente.

      Get-ClusterGroup <VM name>
      

   2. Use el Administrador de clústeres de conmutación por error para detener el servicio de clúster en el nodo propietario de la siguiente manera: seleccione el nodo propietario tal como se muestra en el Administrador de clústeres de conmutación por error.  En el panel derecho de Acciones, seleccione Más acciones y luego seleccione Detener el servicio de clúster.

   3. Detener el servicio de clúster en el nodo propietario hace que la máquina virtual se migre automáticamente a otra máquina disponible en el sistema. Reinicie el servicio de clúster después.

9. Una vez completada la conmutación por error, compruebe si la máquina virtual está disponible y BitLocker está habilitado después de la conmutación por error.

10. Confirme que el nodo propietario de la máquina virtual es el nodo de destino especificado.

    Get-ClusterGroup <VM name>
    

11. Una vez completada la conmutación por error de la máquina virtual, compruebe si la máquina virtual está disponible y BitLocker está habilitada.

12. Compruebe que puede iniciar sesión en el usuario invitado de Windows 11 en la máquina virtual y que el cifrado de BitLocker para el volumen del sistema operativo permanece habilitado. Si es verdadero, el estado vTPM se conserva durante la conmutación por error de la máquina virtual.

    Nota:

    Si el estado de vTPM no se conserva durante la migración de la máquina virtual, el inicio de la máquina virtual daría lugar a la recuperación de BitLocker durante el arranque de invitado. Se le pedirá la contraseña de recuperación de BitLocker al intentar iniciar sesión en el invitado de Windows 11. Esta situación se produce porque la medida de arranque (almacenada en vTPM) de la máquina virtual migrada en el nodo de destino es diferente de la de la máquina virtual original.

Pasos siguientes

• Administración del inicio seguro de la clave de protección de estado de invitado en una máquina virtual de Azure Local.