Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Si applica a: distribuzioni iperconvergenti di Azure Local 2311.2 e versioni successive
Questo articolo presenta l'avvio attendibile per le macchine virtuali locali di Azure abilitate da Azure Arc. È possibile creare un'avvio attendibile per una macchina virtuale locale di Azure usando il portale di Azure o l'interfaccia Command-Line di Azure.
Introduction
L'avvio attendibile per le macchine virtuali locali di Azure abilita l'avvio protetto, installa un dispositivo vTPM (Trusted Platform Module), trasferisce automaticamente lo stato vTPM quando la macchina virtuale esegue la migrazione o il failover a un altro computer all'interno del sistema e supporta la possibilità di attestare se la macchina virtuale è stata avviata in uno stato valido noto.
L'avvio attendibile è un tipo di sicurezza che può essere specificato quando si creano macchine virtuali locali di Azure. Per altre informazioni, vedere Avvio attendibile per le macchine virtuali locali di Azure abilitate da Azure Arc.
Funzionalità e vantaggi
| Capability | Benefit |
|---|---|
| Avvio protetto | Consente di ridurre il rischio di malware (rootkit) durante l'avvio verificando che i componenti di avvio siano firmati da autori attendibili. |
| vTPM | Versione virtualizzata di un hardware TPM che funge da cassaforte dedicata per chiavi, certificati e segreti. |
| Trasferimento dello stato vTPM | Mantiene vTPM quando la macchina virtuale esegue la migrazione o il failover all'interno di un cluster. |
| Sicurezza basata su virtualizzazione (VBS) | Il guest nella macchina virtuale può creare aree isolate di memoria usando il supporto vbs. |
Note
La verifica dell'integrità dell'avvio della guest VM non è disponibile.
Guidance
IgvmAgent è un componente installato in tutti i computer nel sistema locale di Azure. Abilita il supporto per macchine virtuali isolate, ad esempio Avvio attendibile per le macchine virtuali locali di Azure.
L'avvio attendibile per le macchine virtuali locali di Azure supporta attualmente solo un set selezionato di immagini di Azure Marketplace. Per un elenco delle immagini supportate, vedere Immagini del sistema operativo guest. Quando si crea una macchina virtuale di avvio attendibile nel portale di Azure, l'elenco a discesa Immagine mostra solo le immagini supportate dall'avvio attendibile. L'elenco a discesa Immagine viene visualizzato vuoto se si seleziona un'immagine non supportata, inclusa un'immagine personalizzata. L'elenco viene visualizzato anche vuoto se nessuna delle immagini disponibili nel sistema locale di Azure è supportata dall'avvio attendibile.
Come parte dell'avvio attendibile per la creazione di macchine virtuali locali di Azure, Hyper-V crea file di macchina virtuale in un percorso predefinito su disco per archiviare lo stato della macchina virtuale. Per impostazione predefinita, l'accesso a tali file di macchina virtuale è limitato solo agli amministratori del server host. Se si archiviano i file di macchina virtuale in un percorso diverso, è necessario assicurarsi che il percorso sia limitato solo agli amministratori del server host.
Il traffico di rete della migrazione in tempo reale della macchina virtuale non è crittografato. È consigliabile abilitare una tecnologia di crittografia a livello di rete, ad esempio IPsec, per proteggere il traffico di rete della migrazione in tempo reale.
Immagini del sistema operativo guest
Sono supportate tutte le immagini Windows e le immagini di Windows Server di Azure Marketplace supportate dalle macchine virtuali locali di Azure. Per un elenco di tutte le immagini di Windows 11 supportate, vedere Creare un'immagine di macchina virtuale locale di Azure usando immagini di Azure Marketplace .
Note
Le immagini guest delle macchine virtuali ottenute all'esterno di Azure Marketplace non sono supportate.
Considerazioni sul backup e sul ripristino di emergenza
Quando si mettono in uso macchine virtuali locali di Azure per l'avvio attendibile, assicurarsi di comprendere le considerazioni chiave e le limitazioni seguenti relative al backup e al ripristino delle macchine virtuali.
Backup di macchine virtuali
Eseguire il backup di tutti i file di macchina virtuale. È possibile usare qualsiasi soluzione di backup o strumento per eseguire il backup di tutti i file di macchina virtuale, purché se seguono approcci standardHyper-V backup.
Eseguire il backup della chiave di protezione dello stato guest della macchina virtuale. A differenza delle macchine virtuali locali standard di Azure, le macchine virtuali locali di Azure con avvio sicuro utilizzano una chiave di protezione dello stato guest della macchina virtuale per proteggere lo stato guest della macchina virtuale, incluso lo stato del TPM virtuale (vTPM), quando sono a riposo. La chiave di protezione dello stato guest della macchina virtuale viene archiviata in un Key Vault locale nell'istanza locale di Azure in cui risiede la macchina virtuale. È necessario eseguire manualmente il backup della chiave di protezione dello stato guest della macchina virtuale non appena si crea una macchina virtuale di avvio attendibile, come descritto in Backup manuale e ripristino della chiave di protezione dello stato guest della macchina virtuale. Senza la chiave di protezione dello stato guest, non è possibile avviare la macchina virtuale.
Ripristino della macchina virtuale
Ripristinare tutti i file di macchina virtuale. È possibile usare qualsiasi soluzione o strumento di backup per ripristinare tutti i file di macchina virtuale, purché la soluzione o lo strumento di backup segua gli approcci standardHyper-V backup.
Ripristinare la chiave di protezione dello stato guest della macchina virtuale. È necessario ripristinare la chiave di protezione dello stato guest della macchina virtuale nel Key Vault locale dell'istanza di Azure Local, come descritto in Backup manuale e ripristino della chiave di protezione dello stato guest della macchina virtuale.
Ripristino nella stessa istanza locale di Azure
- In alcune situazioni, la macchina virtuale può essere ripristinata nella stessa istanza locale di Azure, uguale all'istanza locale di Azure in cui si trova la macchina virtuale prima dell'errore. Quando una macchina virtuale di avvio attendibile viene ripristinata correttamente nella stessa istanza locale di Azure, la macchina virtuale può essere gestita tramite il piano di controllo locale di Azure come in precedenza.
Ripristino in un'istanza locale di Azure diversa
- In alcune situazioni, la macchina virtuale può essere ripristinata in un'istanza locale di Azure diversa dall'istanza locale di Azure in cui si trova la macchina virtuale prima dell'errore. Quando una macchina virtuale di avvio attendibile viene ripristinata correttamente in un'istanza locale di Azure diversa, la macchina virtuale non può più essere gestita tramite il piano di controllo di Azure Arc, ma può essere gestita usando gli strumenti di gestione delle macchine virtuali locali.
Replicazione di macchine virtuali
Azure Site Recovery, che può replicare macchine virtuali nell'istanza locale di Azure in Azure, non è supportato.