次の方法で共有


Azure Stack HCI バージョン 23H2 で信頼された起動 Arc VM ゲスト状態保護キーを管理する

適用対象: Azure Stack HCI バージョン 23H2

この記事では、Azure Stack HCI で信頼された起動 Arc VM ゲスト状態保護キーを管理する方法について説明します。

VM ゲスト状態保護キーは、ストレージ内の保存中に、vTPM 状態などの VM ゲスト状態を保護するために使用されます。 ゲスト状態保護キーを使用せずに、信頼された起動 Arc VM を起動することはできません。 キーは、VM が配置されている Azure Stack HCI クラスター内のキー コンテナーに格納されます。

VM のエクスポートとインポート

最初の手順では、ソースの Azure Stack HCI クラスターから VM をエクスポートし、ターゲットの Azure Stack HCI クラスターにインポートします。

  1. ソース クラスターから VM をエクスポートするには、「 Export-VM (Hyper-V)」を参照してください。

  2. ターゲット クラスターに VM をインポートするには、「 Import-VM (Hyper-V)」を参照してください。

VM ゲスト状態保護キーを転送する

VM をエクスポートしてインポートした後、次の手順に従って、VM ゲスト状態保護キーをソース Azure Stack HCI クラスターからターゲット Azure Stack HCI クラスターに転送します。

1. ターゲットの Azure Stack HCI クラスターで

ターゲットの Azure Stack HCI クラスターから次のコマンドを実行します。

  1. 管理者特権を使用してキー コンテナーにサインインします。

    mocctl.exe security login --identity --loginpath (Get-MocConfig).mocLoginYAML --cloudFqdn (Get-MocConfig).cloudFqdn
    
  2. ターゲット キー コンテナーにマスター キーを作成します。 次のコマンドを実行します。

    mocctl.exe security keyvault key create --location VirtualMachineLocation --group AzureStackHostAttestation --vault-name AzureStackTvmKeyVault --key-size 2048 --key-type RSA --name master
    
  3. プライバシー強化メール (PEM) ファイルをダウンロードします。

    mocctl.exe security keyvault key download --name master --file-path C:\master.pem --vault-name AzureStackTvmKeyVault
    

2. ソースの Azure Stack HCI クラスターで

ソースの Azure Stack HCI クラスターから次のコマンドを実行します。

  1. ターゲット クラスターからソース クラスターに PEM ファイルをコピーします。

  2. 次のコマンドレットを実行して、VM の ID を確認します。

    (Get-VM -Name <vmName>).vmid  
    
  3. 管理者特権を使用してキー コンテナーにサインインします。

      mocctl.exe security login --identity --loginpath (Get-MocConfig).mocLoginYAML --cloudFqdn (Get-MocConfig).cloudFqdn
    
  4. VM の VM ゲスト状態保護キーをエクスポートします。

    mocctl.exe security keyvault key export --vault-name AzureStackTvmKeyVault --name <vmID> --wrapping-pub-key-file C:\master.pem --out-file C:\<vmID>.json  
    

3. ターゲットの Azure Stack HCI クラスターで

ターゲットの Azure Stack HCI クラスターから次のコマンドを実行します。

  1. vmIDソース クラスターからターゲット クラスターに および vmID.json ファイルをコピーします。

  2. VM の VM ゲスト状態保護キーをインポートします。

    mocctl.exe security keyvault key import --key-file-path C:\<vmID>.json --name <vmID> --vault-name AzureStackTvmKeyVault --wrapping-key-name master --key-type AES --key-size 256
    

次の手順