Zarządzanie kluczem ochrony stanu gościa zaufanej maszyny wirtualnej usługi Arc w usłudze Azure Stack HCI w wersji 23H2

Dotyczy: Azure Stack HCI, wersja 23H2

W tym artykule opisano sposób zarządzania kluczem ochrony stanu gościa zaufanej maszyny wirtualnej usługi Arc w usłudze Azure Stack HCI.

Klucz ochrony stanu gościa maszyny wirtualnej służy do ochrony stanu gościa maszyny wirtualnej, takiego jak stan vTPM, podczas gdy magazynowane. Nie można uruchomić zaufanej maszyny wirtualnej usługi Arc bez klucza ochrony stanu gościa. Klucz jest przechowywany w magazynie kluczy w klastrze usługi Azure Stack HCI, w którym znajduje się maszyna wirtualna.

Eksportowanie i importowanie maszyny wirtualnej

Pierwszym krokiem jest wyeksportowanie maszyny wirtualnej ze źródłowego klastra usługi Azure Stack HCI, a następnie zaimportowanie jej do docelowego klastra usługi Azure Stack HCI.

1. Aby wyeksportować maszynę wirtualną z klastra źródłowego, zobacz Eksportowanie maszyny wirtualnej (Hyper-V).

2. Aby zaimportować maszynę wirtualną do klastra docelowego, zobacz Import-VM (Hyper-V).

Przenoszenie klucza ochrony stanu gościa maszyny wirtualnej

Po wyeksportowaniu i zaimportowaniu maszyny wirtualnej wykonaj następujące kroki, aby przenieść klucz ochrony stanu gościa maszyny wirtualnej ze źródłowego klastra usługi Azure Stack HCI do docelowego klastra usługi Azure Stack HCI:

1. W docelowym klastrze usługi Azure Stack HCI

Uruchom następujące polecenia z docelowego klastra usługi Azure Stack HCI.

1. Zaloguj się do magazynu kluczy przy użyciu uprawnień administracyjnych.

   mocctl.exe security login --identity --loginpath (Get-MocConfig).mocLoginYAML --cloudFqdn (Get-MocConfig).cloudFqdn
   

2. Utwórz klucz główny w docelowym magazynie kluczy. Uruchom następujące polecenie.

   mocctl.exe security keyvault key create --location VirtualMachineLocation --group AzureStackHostAttestation --vault-name AzureStackTvmKeyVault --key-size 2048 --key-type RSA --name master
   

3. Pobierz plik Poczta rozszerzona o prywatność (PEM).

   mocctl.exe security keyvault key download --name master --file-path C:\master.pem --vault-name AzureStackTvmKeyVault
   

2. W źródłowym klastrze usługi Azure Stack HCI

Uruchom następujące polecenia ze źródłowego klastra usługi Azure Stack HCI.

1. Skopiuj plik PEM z klastra docelowego do klastra źródłowego.

2. Uruchom następujące polecenie cmdlet, aby określić identyfikator maszyny wirtualnej.

   (Get-VM -Name <vmName>).vmid  
   

3. Zaloguj się do magazynu kluczy przy użyciu uprawnień administracyjnych.

     mocctl.exe security login --identity --loginpath (Get-MocConfig).mocLoginYAML --cloudFqdn (Get-MocConfig).cloudFqdn
   

4. Wyeksportuj klucz ochrony stanu gościa maszyny wirtualnej dla maszyny wirtualnej.

   mocctl.exe security keyvault key export --vault-name AzureStackTvmKeyVault --name <vmID> --wrapping-pub-key-file C:\master.pem --out-file C:\<vmID>.json  
   

3. W docelowym klastrze usługi Azure Stack HCI

Uruchom następujące polecenia z docelowego klastra usługi Azure Stack HCI:

1. Skopiuj plik vmID i vmID.json z klastra źródłowego do klastra docelowego.

2. Zaimportuj klucz ochrony stanu gościa maszyny wirtualnej dla maszyny wirtualnej.

   mocctl.exe security keyvault key import --key-file-path C:\<vmID>.json --name <vmID> --vault-name AzureStackTvmKeyVault --wrapping-key-name master --key-type AES --key-size 256
   

Następne kroki

• Zarządzanie rozszerzeniami maszyn wirtualnych.