Nota
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
Se aplica a: Azure Local 2311.2 y versiones posteriores
En este artículo se describe cómo realizar una copia de seguridad y restaurar manualmente un inicio de confianza para una máquina virtual local de Azure habilitada por Azure Arc.
A diferencia de las máquinas virtuales locales estándar de Azure, el arranque seguro para las máquinas virtuales locales de Azure usa una clave de protección de estado invitado (GSP) de máquina virtual para proteger el estado de invitado de la máquina virtual, incluido el estado de TPM virtual (vTPM), mientras está en reposo. La clave GSP de máquina virtual se almacena en un almacén de claves local en el sistema local de Azure donde reside la máquina virtual.
Inicio seguro para Azure Local VMs almacena el estado de invitado de la VM en dos archivos, VM Guest state (VMGS) y VM Runtime state (VMRS). Si se pierde la clave de GSP de la máquina virtual, no puede iniciar un Trusted Launch para la máquina virtual local de Azure.
Es importante que realice una copia de seguridad del inicio de confianza para la máquina virtual local de Azure periódicamente, por lo que puede recuperar la máquina virtual en caso de pérdida de datos. Para realizar una copia de seguridad de una máquina virtual de inicio seguro, realice una copia de seguridad de todos los archivos de máquina virtual, incluidos los archivos VMGS y VMRS. Además, realice una copia de seguridad de la clave GSP de máquina virtual en un almacén de claves de copia de seguridad.
Del mismo modo, para restaurar un inicio de confianza para una máquina virtual local de Azure a un sistema local de Azure de destino, restaure todos los archivos de máquina virtual, incluidos los archivos VMGS y VMRS. Además, restaure la clave de GSP de máquina virtual desde el almacén de claves de copia de seguridad a otro almacén de claves en el sistema local de Azure de destino.
En las secciones siguientes se describe cómo puede realizar una copia de seguridad del inicio de confianza para la máquina virtual local de Azure y restaurarla en caso de pérdida de datos.
Copia de seguridad de la máquina virtual
Puede usar Export-VM para obtener una copia de todos los archivos de máquina virtual, incluidos los archivos VMGS y VMRS, para el inicio seguro de la máquina virtual local de Azure. A continuación, puede realizar una copia de seguridad de esos archivos de máquina virtual.
Siga estos pasos para copiar la clave de GSP de máquina virtual desde el almacén de claves en el sistema local de Azure (donde reside la máquina virtual) en un almacén de claves de copia de seguridad en un sistema local de Azure diferente:
1. En el sistema local de Azure con la bóveda de claves de respaldo
Ejecute los siguientes comandos en el sistema local de Azure con el almacén de claves de copia de seguridad.
Cree una clave de encapsulado en el almacén de claves de copia de seguridad.
New-MocKey -name wrappingKey -group AzureStackHostAttestation -keyvaultName AzureStackTvmKeyVault -type RSA -size 2048Descargue el archivo PEM (Privacy Enhanced Mail).
Get-MocKeyPublicKey -name wrappingKey -group AzureStackHostAttestation -keyvaultName AzureStackTvmKeyVault -outputFile wrappingKey.pem
2. En el sistema local de Azure donde reside la máquina virtual
Ejecute los siguientes comandos en el sistema local de Azure.
Copie el archivo PEM en el sistema local de Azure.
Confirme el nodo propietario de la máquina virtual.
Get-ClusterGroup <VM name>Ejecute el siguiente cmdlet en el nodo propietario para determinar el identificador de máquina virtual.
(Get-VM -Name <VM name>).vmidExporte la clave GSP para la máquina virtual.
Export-MocKey -name <VM ID> -wrappingKeyName wrappingKey -wrappingPubKeyFile wrappingKey.pem -outFile <VM ID>.json -group AzureStackHostAttestation -keyvaultName AzureStackTvmKeyVault -size 256
3. En el sistema de Azure Local con el almacén de claves de copia de seguridad
Ejecute los pasos siguientes en el sistema local de Azure.
Copie el
<VM ID>archivo y<VM ID>.jsonen el sistema local de Azure.Importe la clave GSP de la máquina virtual en el almacén de claves de copia de seguridad.
Import-MocKey -name <VM ID> -importKeyFile <VM ID>.json -group AzureStackHostAttestation -keyvaultName AzureStackTvmKeyVault -type AES -size 256
Restauración de la máquina virtual
En caso de pérdida de datos, use la copia de seguridad de los archivos de máquina virtual y restaure la máquina virtual en un sistema local de Azure de destino mediante Import-VM. Esto restaura todos los archivos de máquina virtual, incluidos los archivos VMGS y VMRS.
Siga estos pasos para copiar la clave GSP de máquina virtual desde el almacén de claves de copia de seguridad en el sistema local de Azure (donde se almacenó la copia de seguridad de la clave GSP de la máquina virtual) en el almacén de claves en el sistema local de Azure de destino (donde se debe restaurar la máquina virtual).
Nota:
Inicio de confianza para máquinas virtuales locales de Azure restauradas en un sistema local de Azure alternativo (diferente del sistema local de Azure donde reside originalmente la máquina virtual) no se puede administrar desde el plano de control de Azure.
1. En el sistema local de Azure de origen donde debe restaurarse la máquina virtual
Ejecute los siguientes comandos en el sistema local de Azure.
Cree una clave de encapsulado en el almacén de claves.
New-MocKey -name wrappingKey -group AzureStackHostAttestation -keyvaultName AzureStackTvmKeyVault -type RSA -size 2048Descargue el archivo PEM (Privacy Enhanced Mail).
Get-MocKeyPublicKey -name wrappingKey -group AzureStackHostAttestation -keyvaultName AzureStackTvmKeyVault -outputFile wrappingKey.pem
2. En el sistema de Azure local con el almacén de claves de respaldo
Ejecute los siguientes comandos en el sistema local de Azure.
Copie el archivo PEM en el sistema local de Azure.
Obtenga el
<VM ID>de los archivos de VM almacenados en el disco (donde esté ubicado). Habrá un archivo de configuración de máquina virtual (.xml) que tenga<VM ID>como nombre. También puede usar el comando siguiente para obtener el<VM ID>si conoce el nombre de la máquina virtual. Debe realizar este paso en un host de Hyper-V que tenga los archivos de máquina virtual.(Get-VM -Name <VM name>).vmidExporte la clave GSP de la máquina virtual.
Export-MocKey -name <VM ID> -wrappingKeyName wrappingKey -wrappingPubKeyFile wrappingKey.pem -outFile <VM ID>.json -group AzureStackHostAttestation -keyvaultName AzureStackTvmKeyVault -size 256
3. En el sistema local de Azure donde se debe restaurar la máquina virtual
Ejecute los siguientes comandos desde el sistema local de Azure de destino.
Copie el
<VM ID>archivo y<VM ID>.jsonen el sistema local de Azure.Importe la clave GSP de máquina virtual para la máquina virtual.
Import-MocKey -name <VM ID> -importKeyFile <VM ID>.json -group AzureStackHostAttestation -keyvaultName AzureStackTvmKeyVault -type AES -size 256Nota:
Restaure la clave GSP de máquina virtual (complete los pasos anteriores) antes de iniciar la máquina virtual en el sistema local de Azure (donde es necesario restaurar la máquina virtual). Esto garantiza que la máquina virtual use la clave GSP de máquina virtual restaurada. De lo contrario, se produce un error en la creación de la máquina virtual y el sistema crea una nueva clave GSP de máquina virtual. Si esto ocurre por error (error humano), elimine la clave GSP de máquina virtual y repita los pasos para restaurar la clave GSP de máquina virtual.
Remove-MocKey -name <vm id> -group AzureStackHostAttestation -keyvaultName > AzureStackTvmKeyVault
Pasos siguientes
- Administrar extensiones de máquina virtual.