Zarządzanie kluczem ochrony stanu gościa zaufanej maszyny wirtualnej usługi Arc w usłudze Azure Stack HCI w wersji 23H2
Dotyczy: Azure Stack HCI, wersja 23H2
W tym artykule opisano sposób zarządzania kluczem ochrony stanu gościa zaufanej maszyny wirtualnej usługi Arc w usłudze Azure Stack HCI.
Klucz ochrony stanu gościa maszyny wirtualnej służy do ochrony stanu gościa maszyny wirtualnej, takiego jak stan vTPM, podczas gdy magazynowane. Nie można uruchomić zaufanej maszyny wirtualnej usługi Arc bez klucza ochrony stanu gościa. Klucz jest przechowywany w magazynie kluczy w klastrze usługi Azure Stack HCI, w którym znajduje się maszyna wirtualna.
Eksportowanie i importowanie maszyny wirtualnej
Pierwszym krokiem jest wyeksportowanie maszyny wirtualnej ze źródłowego klastra usługi Azure Stack HCI, a następnie zaimportowanie jej do docelowego klastra usługi Azure Stack HCI.
Aby wyeksportować maszynę wirtualną z klastra źródłowego, zobacz Eksportowanie maszyny wirtualnej (Hyper-V).
Aby zaimportować maszynę wirtualną do klastra docelowego, zobacz Import-VM (Hyper-V).
Przenoszenie klucza ochrony stanu gościa maszyny wirtualnej
Po wyeksportowaniu i zaimportowaniu maszyny wirtualnej wykonaj następujące kroki, aby przenieść klucz ochrony stanu gościa maszyny wirtualnej ze źródłowego klastra usługi Azure Stack HCI do docelowego klastra usługi Azure Stack HCI:
1. W docelowym klastrze usługi Azure Stack HCI
Uruchom następujące polecenia z docelowego klastra usługi Azure Stack HCI.
Zaloguj się do magazynu kluczy przy użyciu uprawnień administracyjnych.
mocctl.exe security login --identity --loginpath (Get-MocConfig).mocLoginYAML --cloudFqdn (Get-MocConfig).cloudFqdn
Utwórz klucz główny w docelowym magazynie kluczy. Uruchom następujące polecenie.
mocctl.exe security keyvault key create --location VirtualMachineLocation --group AzureStackHostAttestation --vault-name AzureStackTvmKeyVault --key-size 2048 --key-type RSA --name master
Pobierz plik Poczta rozszerzona o prywatność (PEM).
mocctl.exe security keyvault key download --name master --file-path C:\master.pem --vault-name AzureStackTvmKeyVault
2. W źródłowym klastrze usługi Azure Stack HCI
Uruchom następujące polecenia ze źródłowego klastra usługi Azure Stack HCI.
Skopiuj plik PEM z klastra docelowego do klastra źródłowego.
Uruchom następujące polecenie cmdlet, aby określić identyfikator maszyny wirtualnej.
(Get-VM -Name <vmName>).vmid
Zaloguj się do magazynu kluczy przy użyciu uprawnień administracyjnych.
mocctl.exe security login --identity --loginpath (Get-MocConfig).mocLoginYAML --cloudFqdn (Get-MocConfig).cloudFqdn
Wyeksportuj klucz ochrony stanu gościa maszyny wirtualnej dla maszyny wirtualnej.
mocctl.exe security keyvault key export --vault-name AzureStackTvmKeyVault --name <vmID> --wrapping-pub-key-file C:\master.pem --out-file C:\<vmID>.json
3. W docelowym klastrze usługi Azure Stack HCI
Uruchom następujące polecenia z docelowego klastra usługi Azure Stack HCI:
Skopiuj plik
vmID
ivmID.json
z klastra źródłowego do klastra docelowego.Zaimportuj klucz ochrony stanu gościa maszyny wirtualnej dla maszyny wirtualnej.
mocctl.exe security keyvault key import --key-file-path C:\<vmID>.json --name <vmID> --vault-name AzureStackTvmKeyVault --wrapping-key-name master --key-type AES --key-size 256
Następne kroki
Opinia
https://aka.ms/ContentUserFeedback.
Dostępne już wkrótce: W 2024 r. będziemy stopniowo wycofywać zgłoszenia z serwisu GitHub jako mechanizm przesyłania opinii na temat zawartości i zastępować go nowym systemem opinii. Aby uzyskać więcej informacji, sprawdź:Prześlij i wyświetl opinię dla